DLP politiky slouží k ochraně dat na koncových zařízeních a k řízení činnosti aplikací. Každá DLP politika má svůj typ, režim a pravidla. Můžete je nastavovat v aplikaci Safetica Management Console v části Protection -> DLP politiky.
Vyhodnocování politik
DLP politiky se v řešení Safetica prioritizují a vyhodnocují odshora dolů v pořadí, v jakém jsou uvedeny v seznamu DLP politik. Změnou pořadí změníte i jejich prioritu během vyhodnocování.
Vyhodnocování DLP politik:
- Každá politika obsahuje jedno nebo více pravidel (např. pro upload, e-mail, externí zařízení atd.).
- Každé pravidlo se vyhodnocuje a uplatňuje samostatně.
- Vždy se uplatní první odpovídající pravidlo.
- Operace, které nejsou v politice specifikovány, budou spravovány jinými politikami níže v seznamu DLP politik.
Příklad: Jakmile se při vyhodnocování najde politika s odpovídajícím pravidlem pro upload, provede se příslušná akce a upload se přestane dál vyhodnocovat. Vyhodnocování ale bude pokračovat pro ostatní operace (např. pro e-mail nebo externí zařízení). Tyto operace budou řešeny politikami umístěnými v seznamu níže, dokud se i pro ně nenajde první odpovídající pravidlo.
Pokud potřebujete vytvořit výjimku pro konkrétního uživatele, jednoduše vytvořte novou DLP politiku, přiřaďte ji vybranému uživateli a umístíte ji nad politiky s obecnějším nastavením.
Typy politik
Safetica pracuje se třemi typy DLP politik:
- Obecné politiky – řídí celé komunikační kanály, např. všechna data zasílaná e-mailem, všechna data zasílaná přes upload, všechna data kopírovaná na externí zařízení atd. Obecné politiky jsou vhodné k nastavení všeobecných podmínek toho, co je a co není povoleno.
- Datové politiky – řídí a chrání určené datové kategorie a jejich kombinace, například čísla kreditních karet, regulární výrazy, CRM exporty atd.
- Aplikační politiky – řídí aplikace a jejich činnost. Uplatňují se na celé aplikační kategorie. Pokud chcete omezit jednu konkrétní aplikaci, vytvořte pro ni novou aplikační kategorii a aplikujte na ni příslušnou politiku. Aplikační politiky nepodporují vytváření stínových kopií.
Poznámka: Doporučujeme zařazovat obecné a méně přísné DLP politiky do spodní části seznamu a specifičtější nebo přísnější politiky do jeho horní části.
Režimy politik
Každou DLP politiku můžete nastavit do 4 různých režimů, které ovlivňují uplatňování jejich pravidel:
- Vypnuto – politika je nastavená, ale nemá žádný vliv na funkčnost. Tento režim je vhodný pro přípravu politik, které by měly být spuštěny později.
- Pouze logovat – politika provádí audit a zaznamenává povolené i omezené operace.
- Logovat a upozornit – uživatel je upozorněn, pokud provádí omezenou operaci. Taková operace se zaznamená, ale její provedení je povoleno. Povolené operace jsou pouze zaznamenány. Safetica nezaznamenává: smazání, vytvoření, přejmenování, kopírování/přesun souborů v rámci jednoho fyzického úložiště (výjimky: cílem je cloudová složka; na operaci se uplatňuje DLP pravidlo).
- Logovat a blokovat – omezené operace jsou zcela zablokovány a zaznamenány. Povolené operace jsou pouze zaznamenány.
Přehled pravidel
|
Pravidlo politiky |
Popis |
Omezení |
|
Cloudové disky |
Přenos souborů z místních počítačů na cloudová úložiště přes klienty nebo webová rozhraní. Lze nastavit buď pro všechna cloudová úložiště obecně, nebo pouze pro specifikovaná cloudová úložiště (např. Dropbox, Google Drive, OneDrive atd.).
K dispozici pro všechny politiky. |
|
|
Upload |
Nahrávání souborů přes webový prohlížeč na jakékoli weby bez ohledu na jejich kategorii. Můžete zvolit i specifičtější pravidla pro Upload na file share a Upload na web mail, která se uplatní na weby kategorizované jako File hosting nebo Web mails. Upload ovlivňuje také zasílání souborů na cloudová úložiště a posílání souborů přes weby pro zasílání rychlých zpráv.
K dispozici pro obecné a datové politiky. |
|
|
|
Posílání e-mailových zpráv z počítačových e-mailových klientů.
K dispozici pro obecné a datové politiky. |
Neuplatňuje se na web mail. |
|
IM aplikace a weby |
Posílání souborů přes aplikace pro zasílání rychlých zpráv nebo weby kategorizované jako Instant Messaging Web Applications.
K dispozici pro obecné a datové politiky. |
Uplatňuje se pouze na zasílané soubory, nikoli na zprávy. |
|
Externí zařízení |
Přenos souborů na externí zařízení.
K dispozici pro všechny politiky. |
Uplatňuje se pouze na velkokapacitní paměťová zařízení USB. |
| Sdílené síťové složky |
Přenos souborů na sdílené síťové složky.
K dispozici pro obecné a datové politiky. |
|
|
Vzdálený přenos |
Vzdálený přenos souborů a přenos přes schránku prostřednictvím těchto aplikací: Vzdálená plocha Microsoft a Team Viewer.
K dispozici pro obecné a datové politiky. |
Neblokuje připojení ke vzdálené ploše obecně. |
| Git |
Provedení příkazu git push (tj. nahrání dat z místních adresářů do vzdálených Git repozitářů). K dispozici pro obecné politiky. |
Pro řízení kanálu Git se nevytváří stínové kopie. |
| Jiné síťové připojení |
Veškerá síťová komunikace kromě sdílených síťových složek. Varování: Pokud zvolíte režim Logovat a blokovat, hrozí úplné odříznutí koncového zařízení od sítě. Je třeba pečlivě dbát na to, aby pravidlo nebylo nastavené nesprávně.
K dispozici pro aplikační politiky a datové politiky kontextového typu. |
Toto je nastavení pro experty, které může mít negativní vliv na práci v síti. Pro Jiná síťová připojení se nevytváří stínové kopie. Pro Jiná síťová připojení není k dispozici Uživatelské odůvodnění. Tyto operace se zablokují, i když je Uživatelské odůvodnění aktivované. |
|
Tisk |
Tisk obecně včetně virtuálního tisku. Můžete zvolit rovněž specifičtější pravidlo Virtuální tisk, které se uplatní pouze na virtuální tisk do souborů.
K dispozici pro všechny politiky. |
Pro Tisk a Virtuální tisk se nevytváří stínové kopie. Pro Tisk a Virtuální tisk není k dispozici Uživatelské odůvodnění. Tyto operace se zablokují, i když je Uživatelské odůvodnění aktivované. |
|
Schránka |
Kopírování textu a obrázků z omezených aplikací pomocí schránky. V režimu Logovat a blokovat lze provádět operace se schránkou v rámci aplikace, která data vlastní, přenosy do jiných aplikací jsou ale blokovány.
K dispozici pro datové a aplikační politiky. |
Pro operace se Schránkou se nevytváří stínové kopie. Pro Schránku není k dispozici Uživatelské odůvodnění. Tyto operace se zablokují, i když je Uživatelské odůvodnění aktivované. Tyto operace negenerují žádné záznamy. Pokud vytvoříte politiku v režimu Pouze logovat, neprovede se žádná akce. |
|
Snímání obrazovky |
Snímky, sdílení a nahrávání obrazovky.
K dispozici pro datové a aplikační politiky. |
Pro Snímání obrazovky se nevytváří stínové kopie. Pro Snímání obrazovky není k dispozici Uživatelské odůvodnění. Tyto operace se zablokují, i když je Uživatelské odůvodnění aktivované. Tyto operace negenerují žádné záznamy. Pokud vytvoříte politiku v režimu Pouze logovat, neprovede se žádná akce. |
|
Lokální cesty |
Přístup do specifického umístění na lokálním úložišti.
Varování: Pokud zvolíte režim Logovat a blokovat, hrozí úplné odříznutí umístění od veškerého přístupu. Je třeba pečlivě dbát na to, aby pravidlo nebylo nastavené nesprávně.
K dispozici pro aplikační politiky a datové politiky kontextového typu. |
Toto je nastavení pro experty, které může mít negativní vliv na práci uživatelů.
Pro Lokální cesty se nevytváří stínové kopie. |
|
Výhradní přístup |
Povolení či zákaz přístupu aplikací k citlivým datům.
Varování: Pokud zvolíte režim Logovat a blokovat, hrozí úplné odříznutí určitých aplikací od dat, která mohou potřebovat ke správnému fungování. Je třeba pečlivě dbát na to, aby pravidlo nebylo nastavené nesprávně.
Chcete-li výhradní přístup povolit konkrétní aplikaci, vytvořte pro ni novou aplikační kategorii.
K dispozici pro datové politiky kontextového typu. |
Toto je nastavení pro experty, které může mít negativní vliv na práci uživatelů. Pro Výhradní přístup se nevytváří stínové kopie. Pro Výhradní přístup není k dispozici Uživatelské odůvodnění. Tyto operace se zablokují, i když je Uživatelské odůvodnění aktivované. Lze nastavit pouze pro celé aplikační kategorie. |