Конфиденциальность и защита данных — защита и управление данными
Добро пожаловать в шаг 2 по управлению конфиденциальностью данных и защитой данных с помощью Microsoft Priva и Microsoft Purview. Защита и управление данными.
Когда вы знаете, какие персональные данные у вас есть, где они есть, и ваши нормативные требования, пришло время принять учесть все, чтобы защитить эти данные. Корпорация Майкрософт предоставляет комплексные и надежные возможности для защиты персональных данных двумя способами:
- Функции, которые ИТ-администраторы настраивают для классификации конфиденциальных элементов и выполнения защитных действий;
- Функции, позволяющие сотрудникам быстро обнаруживать и устранять проблемы с конфиденциальностью данных, а также обучать их работе с обоснованными методами обработки данных.
Выполняемые действия
| Действие | Описание | Получение сведений |
|---|---|---|
| Определите типы конфиденциальной информации, чтобы знать, что требует защиты. | Определение и классификация конфиденциальных элементов, управляемых вашей организацией, является первым шагом в Information Protection дисциплины. Microsoft Purview предоставляет три способа идентификации элементов, чтобы их можно было классифицировать: а) вручную пользователями, б) автоматическое распознавание шаблонов, например типы конфиденциальной информации, и в) машинное обучение. Типы конфиденциальной информации (SIT) — это классификаторы на основе шаблонов. Они обнаруживают конфиденциальную информацию, такую как социальное обеспечение, кредитные карта или номера банковских счетов, для идентификации конфиденциальных элементов. |
Дополнительные сведения о типах конфиденциальной информации Просмотр полного списка типов конфиденциальной информации |
| Классифицируйте и пометьте содержимое, чтобы можно было применить функции для его защиты. | Классификация и маркировка содержимого, чтобы его можно было защитить и правильно обрабатывать, является отправной точкой для дисциплины защиты информации. В Microsoft 365 есть три способа классификации содержимого. | Дополнительные сведения о обучаемых классификаторах |
| Применяйте метки конфиденциальности для защиты данных, даже если они перемещаются. | Определив конфиденциальные данные, вы захотите защитить их. Это часто сложно, когда люди сотрудничают с другими людьми как внутри организации, так и за ее пределами. Эти данные могут перемещаться везде, в разных устройствах, приложениях и службах. И когда он перемещается, вы хотите, чтобы он делал это безопасным, защищенным способом, который соответствует бизнес-политикам и политикам соответствия требованиям вашей организации. Метки конфиденциальности из средств защиты информации Microsoft Purview позволяют классифицировать и защищать данные вашей организации, при этом следя за тем, чтобы не пострадали производительность пользователей и их способность к взаимодействию. |
Дополнительные сведения о метках конфиденциальности |
| Используйте политики защиты от потери данных, чтобы предотвратить совместное использование персональных данных. | Организации имеют под их контролем конфиденциальную информацию, такую как финансовые данные, конфиденциальные данные, кредитные карта номера, медицинские записи или номера социального страхования. Чтобы защитить конфиденциальную информацию и снизить риск, им нужен способ запретить пользователям неуместно делиться ею с людьми, у которых ее не должно быть. Эта практика называется защитой от потери данных (DLP). Используя Защита от потери данных Microsoft Purview, вы реализуете защиту от потери данных путем определения и применения политик защиты от потери данных для выявления, мониторинга и автоматической защиты конфиденциальных элементов в службах Microsoft 365, таких как Teams, Exchange, SharePoint и OneDrive; Приложения Office, такие как Word, Excel и PowerPoint; конечные точки Windows 10, Windows 11 и macOS (текущая версия и две предыдущие версии macOS), облачные приложения, не относящиеся к Корпорации Майкрософт, а также локальные файловые ресурсы и локальная среда SharePoint. Это решение защиты от потери данных обнаруживает конфиденциальные элементы с помощью глубокого анализа содержимого, а не простого сканирования текста. Содержимое анализируется на предмет соответствия первичных данных ключевым словам, путем вычисления регулярных выражений, внутренней проверки функции и совпадений вторичных данных, которые находятся в непосредственной близости от первичного совпадения данных. Кроме того, DLP также использует алгоритмы машинного обучения и другие методы для обнаружения содержимого, соответствующего политикам защиты от потери данных. |
Дополнительные сведения о защите от потери данных |
| Управление данными Microsoft 365 в соответствии с нормативными требованиями | Средства управления информацией можно использовать в вашей среде для удовлетворения потребностей в соблюдении конфиденциальности данных, в том числе ряд, относящихся к Общему регламенту по защите данных (GDPR), HIPAA-HITECH (закону о конфиденциальности США здравоохранения), Закону Калифорнии о защите прав потребителей (CCPA) и Закону Бразилии о защите данных (LGPD). Управление жизненным циклом данных Microsoft Purview и Управление записями Microsoft Purview предоставляют эти элементы управления в виде политик хранения, меток хранения и возможностей управления записями. | Узнайте, как развернуть решение для управления данными с помощью Microsoft Purview |
| Настройте безопасное хранение персональных данных в Microsoft Teams. | Если вы планируете хранить конфиденциальные персональные данные в Teams, можно настроить частную команду и использовать метку конфиденциальности, специально настроенную для защиты доступа к команде и файлам в ней. | Дополнительные сведения о настройке команды с изоляцией безопасности |
| Предоставьте пользователям возможность выявлять потенциальные риски и устранять проблемы. | Создайте политики обработки данных в Управление рисками информационной безопасности Priva, чтобы пользователи могли сразу же определять риски в создаваемых и управляемых ими данных. Уведомления по электронной почте оповещают пользователей, когда они передают элементы с персональными данными в пределах нашей организации, делают контент слишком широко доступным или удерживают персональные данные слишком долго. Уведомления побуждают пользователей немедленно принять меры по исправлению для защиты персональных данных и содержат ссылки на предпочтительный учебный курс по конфиденциальности вашей организации. |
Дополнительные сведения об управлении рисками конфиденциальности Создание политики для предотвращения передачи данных, чрезмерного использования или накопления данных Настройка уведомлений для пользователей, чтобы устранить проблемы с содержимым, которыми они обрабатываются |
| Используйте управление записями для важных элементов, которыми необходимо управлять в соответствии с требованиями к бизнесу, юридическим или нормативным требованиям к ведении записей. | Система управления записями — это решение для организаций для управления нормативными, юридическими и критически важными для бизнеса записями. Управление записями Microsoft Purview помогает организации управлять своими юридическими обязательствами, дает возможность демонстрировать соответствие нормативным требованиям и повышает эффективность при регулярном отчуждении элементов, которые больше не требуются для хранения, больше не имеют ценности или больше не требуются для деловых целей. |
Дополнительные сведения об управлении записями |
Настройка стратегии для успешного выполнения
Определение типов конфиденциальной информации (SIT), классификация и маркировка содержимого, а также развертывание политик защиты от потери данных (DLP) являются ключевыми шагами в стратегии защиты информации. Ссылки в приведенной выше таблице позволяют получить подробные рекомендации по выполнению этих важных задач.
Защита данных также является обязанностью каждого пользователя в вашей организации, который просматривает, создает и обрабатывает персональные данные в ходе выполнения рабочих обязанностей. Каждый пользователь должен знать и соблюдать внутренние и нормативные обязанности вашей организации по защите персональных данных, где бы они ни находились в вашей организации. С этой целью Priva помогает пользователям знать о своих обязанностях, получать информацию о том, когда они обрабатывают данные рискованными способами, и принять немедленные меры, чтобы свести к минимуму риски конфиденциальности для организации.
Три политики обработки данных, доступные в Управление рисками информационной безопасности Priva помогают пользователям играть упреждающее роль в стратегии защиты данных вашей организации. Email уведомления со встроенными действиями по исправлению побуждают пользователей применить необходимые средства защиты и пройти обучение конфиденциальности, назначенное вашей организацией. Эта осведомленность и способность действовать могут помочь в воспитании лучших привычек для предотвращения будущих проблем конфиденциальности.
Рекомендации по первой политике обработки данных Priva
Мы рекомендуем развертывать политики поэтапно, чтобы узнать, как они ведут себя, и оптимизировать их в соответствии с вашими потребностями. На первом этапе рекомендуется создать одну настраиваемую политику, которая будет служить основой для понимания. Рассмотрим пример создания политики чрезмерного воздействия данных, которая определяет элементы содержимого, содержащие персональные данные, которые могут быть слишком широко доступны другим людям. Подробные инструкции по созданию политики можно найти здесь.
Когда вы перейдете к шагу Выбор данных для мониторинга мастера создания политики, рекомендуется выбрать параметр Отдельные типы конфиденциальной информации и выбрать наиболее подходящие для вашей организации sit. Например, если вы являетесь компанией финансовых услуг с клиентами в Европе, вы, скорее всего, захотите включить номер дебетовой карта ЕС в качестве одного из ваших SIT. Список определений SIT можно найти здесь.
На шаге Выбор пользователей и групп, на которые распространяется эта политика, рекомендуется выбрать Конкретные пользователи или группы и выбрать небольшой внутренний круг пользователей в область для этой политики.
На шаге Выбор условий политики рекомендуется выбрать только внешний , чтобы отслеживать данные, которые могут быть подвержены большему риску, сохраняя при этом общий объем данных, которые необходимо отслеживать на более управляемых уровнях.
На шаге Указание оповещений и пороговых значений рекомендуется включить оповещения и выбратьпараметр частотыоповещений при выполнении одного из указанных ниже условий. Включение оповещений поможет администраторам определить, соответствуют ли серьезность и частота оповещений их потребностям. Обратите внимание, что политики не работают ретроспективно, поэтому если вы решите сначала отключить оповещения, а затем включить их, вы не увидите никаких оповещений о совпадениях, произошедших до включения оповещений.
В состоянии Определение режима политики рекомендуется держать политику в тестовом режиме и отслеживать ее производительность не менее пяти дней. Это позволяет увидеть, какие типы соответствуют условиям политики, как будут возникать оповещения.
Постепенное создание дополнительных политик и точная настройка производительности
После настройки и запуска первой политики может потребоваться сделать то же самое с двумя другими типами политик. Это может быть второй этап, на котором вы постепенно активируете использование функций по мере оптимизации их параметров. Например, вы можете сначала не отправлять Уведомления по электронной почте пользователей, когда увидите, сколько совпадений обнаруживает ваша политика. Затем в конечном итоге вы можете включить Уведомления по электронной почте, пока политики все еще находятся в тестовом режиме (на этапе Определение результатов параметров политики). Если пользователи получают слишком много сообщений электронной почты, вернитесь в параметры результатов политики, чтобы настроить частоту уведомлений. Вся эта тонкая настройка поможет оценить требуемое влияние на пользователей, прежде чем развертывать политику более широко в организации.
Рекомендуемые параметры для двух других типов политик
Ниже приведены конкретные рекомендации по ключевым параметрам при создании первых политик передачи данных и переэкспонирования данных .
Передача данных:
- Для отслеживания данных выберите определенные SIT.
- В поле Выберите пользователей и группы, на которые распространяется эта политика, выберите внутреннее кольцо пользователей.
- В поле Выбор условий для политики выберите условие, которое имеет наибольшее значение.
- Для параметра Определение результатов при обнаружении соответствия политике включите Уведомления по электронной почте.
- Для параметра Укажите оповещения и пороговые значения включите оповещения для каждого действия.
- Для параметра Выбор режима политики включите режим политики (который отключает тестовый режим).
Минимизация данных:
- Чтобы отслеживать данные, выберите определенные sit или группы классификации.
- В поле Выберите пользователей и группы, на которые распространяется эта политика, выберите внутреннее кольцо пользователей.
- В поле Выбрать условия политики выберите 30, 60, 90 или 120 дней.
- В режиме выбора политики оставьте политику в тестовом режиме.
Максимальное повышение производительности политики для минимизации рисков конфиденциальности
Разрешите политикам работать по крайней мере в течение двух-четырех недель. В течение этого времени необходимо просмотреть и задокументировать следующие результаты:
- Совпадения, созданные каждым типом политики, и экземпляры ложноположительных и ложных срабатываний
- Влияние и отзывы конечных пользователей и администраторов
На основе полученных результатов теперь можно настроить производительность политики, выполнив следующие действия.
- Включение или исключение встроенных и пользовательских групп SIT или групп классификации
- Создание версий политик с условиями и группами пользователей для повышения эффективности таргетинга
- Настройка пороговых значений политики, включая частоту сообщений электронной почты пользователям, количество дней для отслеживания и т. д.
Подумайте об этом как о третьем этапе. Вы можете создать больше версий политики каждого типа и развернуть их во всей организации в два этапа: первый раунд, охватывающий 50 % пользователей, и второй раунд, охватывающий 100 % пользователей.
Это также этап, на котором вы накапливаете знания на основе поведения пользователей, как указано в Priva, и создаете специальные учебные курсы по конфиденциальности для пользователей, которые можно включить в пользовательские Уведомления по электронной почте политик.
Следующее действие
Перейдите к шагу 3. Следите за соблюдением правил конфиденциальности.