DLP politiky v řešení Safetica

DLP politiky slouží k ochraně dat na koncových zařízeních a k řízení činnosti aplikací. Každá DLP politika má svůj typ, režim a pravidla. Můžete je nastavovat v aplikaci Safetica Management Console v části Protection -> DLP politiky.

Vyhodnocování politik

DLP politiky se v řešení Safetica prioritizují a vyhodnocují odshora dolů v pořadí, v jakém jsou uvedeny v seznamu DLP politik. Změnou pořadí změníte i jejich prioritu během vyhodnocování.

Vyhodnocování DLP politik:

  • Každá politika obsahuje jedno nebo více pravidel (např. pro upload, e-mail, externí zařízení atd.).
  • Každé pravidlo se vyhodnocuje a uplatňuje samostatně.
  • Vždy se uplatní první odpovídající pravidlo.
  • Operace, které nejsou v politice specifikovány, budou spravovány jinými politikami níže v seznamu DLP politik.

Příklad: Jakmile se při vyhodnocování najde politika s odpovídajícím pravidlem pro upload, provede se příslušná akce a upload se přestane dál vyhodnocovat. Vyhodnocování ale bude pokračovat pro ostatní operace (např. pro e-mail nebo externí zařízení). Tyto operace budou řešeny politikami umístěnými v seznamu níže, dokud se i pro ně nenajde první odpovídající pravidlo.

Pokud potřebujete vytvořit výjimku pro konkrétního uživatele, jednoduše vytvořte novou DLP politiku, přiřaďte ji vybranému uživateli a umístíte ji nad politiky s obecnějším nastavením.

Typy politik

Safetica pracuje se třemi typy DLP politik:

  1. Obecné politiky – řídí celé komunikační kanály, např. všechna data zasílaná e-mailem, všechna data zasílaná přes upload, všechna data kopírovaná na externí zařízení atd. Obecné politiky jsou vhodné k nastavení všeobecných podmínek toho, co je a co není povoleno.
  2. Datové politiky – řídí a chrání určené datové kategorie a jejich kombinace, například čísla kreditních karet, regulární výrazy, CRM exporty atd.
  3. Aplikační politiky – řídí aplikace a jejich činnost. Uplatňují se na celé aplikační kategorie. Pokud chcete omezit jednu konkrétní aplikaci, vytvořte pro ni novou aplikační kategorii a aplikujte na ni příslušnou politiku. Aplikační politiky nepodporují vytváření stínových kopií.

Poznámka: Doporučujeme zařazovat obecné a méně přísné DLP politiky do spodní části seznamu a specifičtější nebo přísnější politiky do jeho horní části.

 

Režimy politik

Každou DLP politiku můžete nastavit do 4 různých režimů, které ovlivňují uplatňování jejich pravidel:

  • Vypnuto – politika je nastavená, ale nemá žádný vliv na funkčnost. Tento režim je vhodný pro přípravu politik, které by měly být spuštěny později.
  • Pouze logovat – politika provádí audit a zaznamenává povolené i omezené operace.
  • Logovat a upozornit – uživatel je upozorněn, pokud provádí omezenou operaci. Taková operace se zaznamená, ale její provedení je povoleno. Povolené operace jsou pouze zaznamenány. Safetica nezaznamenává: smazání, vytvoření, přejmenování, kopírování/přesun souborů v rámci jednoho fyzického úložiště (výjimky: cílem je cloudová složka; na operaci se uplatňuje DLP pravidlo).
  • Logovat a blokovat – omezené operace jsou zcela zablokovány a zaznamenány. Povolené operace jsou pouze zaznamenány.

    Přehled pravidel

     

    Pravidlo politiky

    Popis

    Omezení

    Cloudové disky

    Přenos souborů z místních počítačů na cloudová úložiště přes klienty nebo webová rozhraní.

    Lze nastavit buď pro všechna cloudová úložiště obecně, nebo pouze pro specifikovaná cloudová úložiště (např. Dropbox, Google Drive, OneDrive atd.).

     

    K dispozici pro všechny politiky.

     

    Upload

    Nahrávání souborů přes webový prohlížeč na jakékoli weby bez ohledu na jejich kategorii.

    Můžete zvolit i specifičtější pravidla pro Upload na file share a Upload na web mail, která se uplatní na weby kategorizované jako File hosting nebo Web mails.

    Upload ovlivňuje také zasílání souborů na cloudová úložiště a posílání souborů přes weby pro zasílání rychlých zpráv.

     

    K dispozici pro obecné a datové politiky.

     

    E-mail

    Posílání e-mailových zpráv z počítačových e-mailových klientů.

     

    K dispozici pro obecné a datové politiky.

    Neuplatňuje se na web mail.

    IM aplikace a weby

    Posílání souborů přes aplikace pro zasílání rychlých zpráv nebo weby kategorizované jako Instant Messaging Web Applications.

     

    K dispozici pro obecné a datové politiky.

    Uplatňuje se pouze na zasílané soubory, nikoli na zprávy.

    Externí zařízení

    Přenos souborů na externí zařízení.

     

    K dispozici pro všechny politiky.

    Uplatňuje se pouze na velkokapacitní paměťová zařízení USB.

    Sdílené síťové složky

    Přenos souborů na sdílené síťové složky.

     

    K dispozici pro obecné a datové politiky.

     

    Vzdálený přenos

    Vzdálený přenos souborů a přenos přes schránku prostřednictvím těchto aplikací: Vzdálená plocha Microsoft a Team Viewer.

     

    K dispozici pro obecné a datové politiky.

    Neblokuje připojení ke vzdálené ploše obecně.

    Git

    Provedení příkazu git push (tj. nahrání dat z místních adresářů do vzdálených Git repozitářů).

    K dispozici pro obecné politiky.

    Pro řízení kanálu Git se nevytváří stínové kopie.

    Jiné síťové připojení

    Veškerá síťová komunikace kromě sdílených síťových složek.

    Varování: Pokud zvolíte režim Logovat a blokovat, hrozí úplné odříznutí koncového zařízení od sítě. Je třeba pečlivě dbát na to, aby pravidlo nebylo nastavené nesprávně.

     

    K dispozici pro aplikační politiky a datové politiky kontextového typu.

    Toto je nastavení pro experty, které může mít negativní vliv na práci v síti.

    Pro Jiná síťová připojení se nevytváří stínové kopie.

    Pro Jiná síťová připojení není k dispozici Uživatelské odůvodnění. Tyto operace se zablokují, i když je Uživatelské odůvodnění aktivované.

    Tisk

    Tisk obecně včetně virtuálního tisku.

    Můžete zvolit rovněž specifičtější pravidlo Virtuální tisk, které se uplatní pouze na virtuální tisk do souborů.

     

    K dispozici pro všechny politiky.

    Pro Tisk a Virtuální tisk se nevytváří stínové kopie.

    Pro Tisk a Virtuální tisk není k dispozici Uživatelské odůvodnění. Tyto operace se zablokují, i když je Uživatelské odůvodnění aktivované.

    Schránka

    Kopírování textu a obrázků z omezených aplikací pomocí schránky. V režimu Logovat a blokovat lze provádět operace se schránkou v rámci aplikace, která data vlastní, přenosy do jiných aplikací jsou ale blokovány.

     

    K dispozici pro datové a aplikační politiky.

    Pro operace se Schránkou se nevytváří stínové kopie.

    Pro Schránku není k dispozici Uživatelské odůvodnění. Tyto operace se zablokují, i když je Uživatelské odůvodnění aktivované.

    Tyto operace negenerují žádné záznamy. Pokud vytvoříte politiku v režimu Pouze logovat, neprovede se žádná akce.

    Snímání obrazovky

    Snímky, sdílení a nahrávání obrazovky.

     

    K dispozici pro datové a aplikační politiky.

    Pro Snímání obrazovky se nevytváří stínové kopie.

    Pro Snímání obrazovky není k dispozici Uživatelské odůvodnění. Tyto operace se zablokují, i když je Uživatelské odůvodnění aktivované.

    Tyto operace negenerují žádné záznamy. Pokud vytvoříte politiku v režimu Pouze logovat, neprovede se žádná akce.

    Lokální cesty

    Přístup do specifického umístění na lokálním úložišti.

     

    Varování: Pokud zvolíte režim Logovat a blokovat, hrozí úplné odříznutí umístění od veškerého přístupu. Je třeba pečlivě dbát na to, aby pravidlo nebylo nastavené nesprávně.

     

    K dispozici pro aplikační politiky a datové politiky kontextového typu.

    Toto je nastavení pro experty, které může mít negativní vliv na práci uživatelů.

     

    Pro Lokální cesty se nevytváří stínové kopie.

    Výhradní přístup

    Povolení či zákaz přístupu aplikací k citlivým datům.

     

    Varování: Pokud zvolíte režim Logovat a blokovat, hrozí úplné odříznutí určitých aplikací od dat, která mohou potřebovat ke správnému fungování. Je třeba pečlivě dbát na to, aby pravidlo nebylo nastavené nesprávně.

     

    Chcete-li výhradní přístup povolit konkrétní aplikaci, vytvořte pro ni novou aplikační kategorii.

     

    K dispozici pro datové politiky kontextového typu.

    Toto je nastavení pro experty, které může mít negativní vliv na práci uživatelů.

    Pro Výhradní přístup se nevytváří stínové kopie.

    Pro Výhradní přístup není k dispozici Uživatelské odůvodnění. Tyto operace se zablokují, i když je Uživatelské odůvodnění aktivované.

    Lze nastavit pouze pro celé aplikační kategorie.