Сканирование и защита файлов на Диске с помощью правил DLP

Эта функция доступна только в пакетах G Suite Enterprise, Drive Enterprise и G Suite for Education. Сравнение версий

Как администратор G Suite, вы можете запретить делиться конфиденциальными данными, хранящимися на Google Диске и общих дисках, с пользователями за пределами домена. Чтобы сканировать файлы на наличие соответствующего контента, необходимо настроить правила защиты от потери данных (DLP). Например, можно настроить правила таким образом, что если пользователь откроет доступ к файлу с номером банковского счета или ИНН, то он увидит предупреждение об этом или суперадминистраторы получат уведомление по электронной почте. Можно также заблокировать доступ к этому файлу для любого пользователя за пределами организации. Сканируются только те файлы, к которым открыт доступ. 

Совет. Ознакомьтесь с примерами конфиденциальных данных или протестируйте работу функции.

Сканируемые приложения и типы файлов

Сканирование выполняется для следующих приложений G Suite:

  • Таблицы
  • Документы
  • Презентации

Формы не сканируются.

Типы файлов, контент которых сканируется, включают следующие:

  • Документы в форматах DOC, DOCX, HTML, ODP, ODS, ODT, PDF, PPT, RTF, WDP, XLS, XLSX и XML.
  • Изображения в форматах EPS, FIF, IMG_FOR_OCR и PS.
  • Сжатые файлы в форматах 7Z, BZIP, GZIP, RAR, TAR и ZIP.
  • Персонализированные файлы в форматах HWP, KML, KMZ, SDC, SDD, SDW, SXC, SXI, SXW, TTF, WML и XPS.

Аудио- и видеофайлы не сканируются.

Как это работает

Для создания правил вы можете использовать стандартные шаблоны или собственные. Правила могут распространяться на весь домен, выбранное организационное подразделение или группу в Google Группах. Чтобы правило работало для файлов на общих дисках, необходимо применить его ко всем пользователям организации. Если конфиденциальная информация найдена, выполняется заданное вами действие. Подробнее…

Создание и редактирование правил

Для выполнения этого действия войдите в аккаунт суперадминистратора.

Как создать правило с помощью стандартных шаблонов
  1. Войдите в Консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Правила.

    Если значка "Правила" нет, нажмите Добавить элементы управления в нижней части страницы. 

  3. Откройте список шаблонов. Для этого нажмите на значок "Добавить" Добавить или в верхней части окна выберите Шаблоны.
  4. В разделе "Предотвращение потери данных" выберите один из стандартных шаблонов.
  5. При необходимости измените название и описание правила.
  6. Если нужно, измените или добавьте триггеры, условия и действия, а затем нажмите Готово. Подробнее…
  7. Нажмите Создать и активировать
Как создать правило на основе пустого шаблона
  1. Войдите в Консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Правила.

    Если значка "Правила" нет, нажмите Добавить элементы управления в нижней части страницы. 

  3. Откройте список шаблонов. Для этого нажмите на значок "Добавить" Добавить или в верхней части окна выберите Шаблоны.
  4. В разделе "Предотвращение потери данных" нажмите Пустой шаблон.
  5. Введите название и добавьте описание правила.
  6. Добавьте триггеры, условия и действия, а затем нажмите ГотовоПодробнее…
  7. Нажмите Создать и активировать
Как изменить правило
  1. Войдите в Консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Правила.

    Если значка "Правила" нет, нажмите Добавить элементы управления в нижней части страницы. 

  3. В верхней части страницы нажмите Управление, чтобы посмотреть список существующих правил DLP.
  4. Выберите правило, которое хотите изменить.
  5. Если нужно, измените триггеры, условия и действия, а затем нажмите ГотовоПодробнее…
  6. Нажмите Сохранить и активировать.
Как настроить правило

Триггеры

Это файлы приложения, которые сканирует правило. В настоящее время триггеры доступны только для Диска и общих дисков. 

Условия

Вы можете указать, как именно правило должно применяться к пользователю и контенту. 

  • К пользователям. Вы можете применить правило к организационному подразделению или группе в Google Группах (или и к тому, и к другому). Чтобы сканировать файлы на общих дисках, необходимо применить правило ко всем пользователям организации (к организации верхнего уровня). Правило будет проверять файлы, принадлежащие пользователям в выбранных организационных подразделениях и группах. Вы также можете исключать и добавлять группы и организационные подразделения в любом количестве. Если конкретные группы и подразделения не указаны, правило применяется к организации верхнего уровня.
  • К контенту. Вы можете выбрать триггер для правила из доступного списка стандартных детекторов содержания или настроенного списка слов и регулярных выражений, которые можно также создавать самостоятельно. Во все эти списки можно добавить любое количество типов содержания, нежелательных слов и выражений. Подробнее о стандартных детекторах содержания и регулярных выражениях

    Примечание. Если вы добавите несколько типов содержания, правило будет срабатывать при соответствии любому из них. 

    Для триггеров соответствия нужно настроить порог достоверности. Он определяет, насколько содержимое файла соответствует выбранным вами критериям. При среднем пороге достоверности действие выполняется для большего количества файлов. При высоком пороге достоверности меньше вероятность применения действия к файлам, для которых оно не требуется, но при этом возрастает процент пропущенных файлов.

Действия

Что произойдет, если правило сработало. Даже если действие не выбрано, все отвечающие условиям файлы помечаются и добавляются в отчеты. 

  • Заблокировать доступ из-за пределов организации – доступ к любому файлу с конфиденциальной информацией будет заблокирован для внешних пользователей. Они не смогут посмотреть его содержимое, даже если файл будет добавлен на общий диск.  
  • Показать предупреждение о распространении за пределами организации – пользователь увидит сообщение о том, что он предоставляет доступ к файлу с конфиденциальной информацией.
  • Оповестить суперадминистраторов по электронной почте – суперадминистраторам будет отправлено электронное письмо о том, что пользователь создал, отредактировал или загрузил файл с конфиденциальной информацией. Оно отправляется каждый раз, когда меняется тип конфиденциальной информации в файле. Максимальное количество писем – 25 в течение 2 часов.

Совет. При большом количестве ложных срабатываний создайте пару правил. Первое правило можно сделать строгим, например задать действие "Заблокировать доступ из-за пределов организации" и высокий порог достоверности. Для второго правила задайте средний порог достоверности и добавьте действие "Предупреждение о распространении за пределами организации".

Как управлять правилами и их изменениями

Вы можете отслеживать добавленные, измененные и удаленные правила с помощью DLP-сканирования. Когда сканирование начнется, данные о нем и все внесенные изменения можно найти в разделе "Задачи" консоли администратора. Подробнее…

  • Если вы добавите, отредактируете или удалите правило, запустится новое DLP-сканирование (и задача). 
  • Если вы измените правило в процессе DLP-сканирования, соответствующая задача будет обновлена и в ней отразятся внесенные изменения.
  • Если другой администратор изменит правило в процессе DLP-сканирования, оно перезапустится, а для администратора будет создана новая задача. В предыдущей задаче отслеживание процесса сканирования будет прекращено.

Отчеты о проверке правил и шаблоны

Для выполнения этого действия войдите в аккаунт суперадминистратора.

Как посмотреть или экспортировать данные об отмеченных файлах
  1. Войдите в Консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Правила.

    Если значка "Правила" нет, нажмите Добавить элементы управления в нижней части страницы. 

  3. Чтобы посмотреть данные отчета о проверке правил DLP, в верхней части окна выберите Проверка.
  4. Чтобы выбрать другие столбцы, нажмите на значок Выбрать столбцы. Изменения вступят в силу при следующем входе в консоль администратора.
  5. Чтобы изменить структуру отчета, в разделе Фильтры укажите или выберите названия элементов в следующих полях:
    1. Название правила – правило, которое было нарушено найденным файлом.
    2. Название помеченного элемента – название файла, на котором сработало правило.
    3. Идентификатор помеченного элемента – название идентификатора в файле, на котором сработало правило.
    4. Владелец объекта – адрес электронной почты владельца файла, на котором сработало правило.
    5. Идентификатор общего диска – номер общего диска, содержащего файл, на котором сработало правило.
    6. Детекторы совпадающего содержания – выберите один из созданных вами или стандартных детекторов совпадающего содержания.
    7. Временной диапазон – начало и конец периода, показанного в журнале.
      Каждая запись в журнале связана с одним событием.
  6. Чтобы сохранить данные отчета в файле Google Таблиц на Диске или скачать их в виде CSV-файла, нажмите на значок "Скачать" Скачать. Файл может содержать не более 200 000 ячеек. Максимальное количество строк зависит от числа выбранных столбцов.
Как посмотреть или отфильтровать шаблоны правил DLP
  1. Войдите в Консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Правила.

    Если значка "Правила" нет, нажмите Добавить элементы управления в нижней части страницы. 

  3. В верхней части нажмите Шаблоны.
  4. Чтобы выбрать другие столбцы, нажмите на значок Выбрать столбцы. Изменения вступят в силу при следующем входе в консоль администратора.
  5. Чтобы изменить структуру отчета, в разделе Фильтры можно указать или выбрать названия элементов в следующих полях:
    1. Название шаблона – название предварительно выбранного шаблона.
    2. Описание шаблона – описание предварительно выбранного шаблона.
    3. Категория – в настоящий момент доступна только категория "Предотвращение потери данных".
    4. Приложение – файлы приложения, которые сканирует правило. В настоящий момент правила DLP поддерживают только файлы Диска.

Часто задаваемые вопросы

Какие стандартные детекторы содержания поддерживаются?

Функция DLP для Диска поддерживает множество стандартных детекторов. По мере развития платформы DLP будут добавляться и другие детекторы.

Гарантируется ли 100-процентная достоверность обнаружения?

Нет, мы не можем гарантировать, что будет обнаружена вся конфиденциальная информация. Система обнаружения DLP преобразует стандартные шаблоны в регулярные выражения и использует дополнительные параметры, чтобы оценить вероятность совпадения. Так как работа функции зависит от множества факторов, возможны ложные срабатывания и пропущенные файлы.

Узнают ли пользователи, почему они не могут поделиться файлом?

Пользователи увидят сообщение с объяснением причины. Если причин для блокировки несколько, в сообщении будет указан первый детектор, который совпал с условием, указанным в правиле.

Выполняется ли повторное сканирование уже проверенных файлов после редактирования или добавления правил?

Да. Все файлы сканируются каждый раз после добавления или изменения правила. Общее время сканирования может составлять, например, несколько часов, день или более: оно зависит от ряда факторов, включая количество файлов в домене. 

Примечание. После добавления или изменения правила сканируется последняя версия загруженных ранее файлов.

Может ли файл сканироваться несколько раз?

Да. Чтобы с большей вероятностью обнаружить конфиденциальный контент, сканирование может быть выполнено дважды. Таким образом, количество файлов, которые затронет изменение правила, может оказаться разным.

Эта информация оказалась полезной?
Как можно улучшить эту статью?