Translation not up to date
Určení dědičnosti obchodních výrazů, definování konvencí pro přístup k datům, priority akce pravidla a maskování priority metod před vytvořením pravidel pro ochranu dat a pravidel pro umístění dat zefektivňuje způsob, jakým se pravidla, která jsou vytvářena, chovají k konzistentnímu chování a ochraně dat.
Určete, zda chcete, aby obchodní podmínky, které mají závislé obchodní podmínky, byly typem vztahu, které mají být také zahrnuty, když jsou vyhodnocována pravidla ochrany dat a pravidla umístění dat.
Vyberte si mezi dvěma typy pravidel pro přístup k datům pro pravidla ochrany dat a pravidla umístění dat. Přístup k datům můžete povolit pouze v případě, že mu to pravidlo brání, nebo můžete odepřít přístup k datům, pokud to pravidlo nepovolí.
Můžete také vybrat prioritu pro pravidla a metody maskování. Priorita akce pravidla se použije tehdy, když má více pravidel různé akce, které se použijí na stejné datové hodnoty. Metoda maskování se používá, když se více pravidel, která mají odlišné metody maskování, použijí na stejné datové hodnoty.
Než vytvoříte pravidla ochrany dat a pravidla umístění dat, naplánujte a vyhodnoťte, kdo pravidla umožňují přístup k datům nebo odepření přístupu k datům. Návrh pravidel po pečlivém plánování poskytuje pevnou základnu pro stanovení kritérií pro vynucení pravidel a odpovídajících donucovacích opatření. Tento pečlivý proces plánování také minimalizuje riziko budoucího rozhodnutí o přepnutí přístupu k pravidlu. Pokud se později rozhodnete změnit své přístupové schéma pro svá pravidla, musíte nejprve odstranit všechna existující pravidla a pak znovu vytvořit nová pravidla pro tuto třídu pravidel.
Následující volby obchodního výrazu, konvence a precedenční služby se vztahují jak na pravidla ochrany dat, tak i na pravidla umístění dat.
Požadovaná oprávnění
Chcete-li nastavit konvence pravidel, musíte být administrátorem účtu IBM Cloud .
Vyhodnocování pravidel a dědičnosti obchodních termínů
Vyberte volbu Dědičnost obchodních termínů , pokud chcete, aby byly při vyhodnocení pravidel ochrany dat a pravidel umístění dat zahrnuty závislé obchodní výrazy vztahu hierarchického typu. Např. obchodní výraz Loan má typ vztahu se Půjčkou pro studenty a Osobní úvěr. Obchodní výraz Úvěr a jeho podtypy Úvěr pro studenty a Osobní úvěr jsou zahrnuty při vyhodnocení pravidel pro ochranu dat a pravidel umístění dat. Další informace o vztazích hierarchického typu mezi obchodními termíny naleznete v tématu Navrhování obchodních termínů.
Povolení přístupu k konvenci dat
Výchozí chování v povolení přístupu k datům je pro přístup k datům, které má být uděleno. Chcete-li chránit specifická data, musíte napsat pravidla, která výslovně zamítnou určitý přístup k datům na základě atributů uživatele nebo dat.
S konvencí povolení přístupu k datům mají pravidla ochrany dat a pravidla umístění dat tyto dostupné akce:
- Zamítnout přístup k datům
- Data masky
- Filtrovat řádky
Příklad použití této konvence může zahrnovat vytvoření pravidel pro ochranu dat, která umožňují všem zaměstnancům společnosti přístup k datům kolegů zaměstnanců obecně, ale omezit přístup k informacím o výplatní listině. Chcete-li toho dosáhnout, můžete napsat pravidlo uvádějící, že každé aktivum obsahující atributy označující, že souvisí s údaji o mzdách, musí být odepřeno pro všechny uživatele, kteří nejsou v oddělení lidských zdrojů. Všechna data všech typů jsou tedy povolena a pouze výjimka ze mzdy pro zaměstnance, kteří nejsou v lidských zdrojích, je popřena.
Konvencí povolení přístupu je výchozí datová konvence pro pravidla ochrany dat.
Odepření přístupu k konvenci údajů
Výchozí chování pro konvencí odepření přístupu je odepřít přístup k datům. Chcete-li odhalit specifická data, musíte napsat pravidla, která výslovně umožňují, aby data viděli konkrétní uživatelé. V prostředí, kde je třeba omezit přístup většiny dat, umožňuje konvence odepření napsat několik pravidel, kde jsou data povolena místo zápisu pravidla pro každý případ, kdy musí být data omezena.
Příkladem použití konvence deny pro pravidla ochrany dat může být katalog obsahující citlivé osobní informace, které nejsou povoleny pro zobrazení mezi odděleními. V takovém případě musí být jakékoli datové aktivum, které je označeno jako marketing zpřístupněno jiným uživatelem než členem skupiny marketingu, odepřeno. Avšak uživatel, který je členem skupiny uživatelů marketingu, může zobrazit aktiva, která jsou označena jako marketing. Konvencí má za následek odepření přístupu všem uživatelům ke všem datům kromě uživatelů ve skupině uživatelů marketingu, kteří mají přístup k datům, která jsou označena pravidlem ochrany dat jako marketing .
Tento příklad se také používá pro pravidla umístění dat a výchozí konvence dat pro pravidla umístění dat odmítají přístup.
Příkladem použití konvence deny pro pravidla umístění dat může být katalog obsahující citlivé osobní informace, které nejsou povoleny pro hranice zemí. V takovém případě se vytvoří pravidlo umístění dat, které určuje, že veškerá data přesouvají z libovolného umístění do jiného se odepře. Jelikož však existují povolenky na sdílení dat mezi určitými lokalitami, všechny přesuny dat by byly odepřeny kromě pravidla upřesňující, že data přesouvají se z umístění v Chile do umístění v Argentině, je povoleno.
Při použití pravidel pro přístup k odepření přístupu k datům mají pravidla ochrany dat a pravidla umístění dat tyto dostupné akce:
- Povolit přístup k datům
- Data masky
- Filtrovat řádky
Nastavení konvence pro přístup k datům
Než váš tým vytvoří pravidla pro ochranu dat a pravidla pro umístění dat, musí být nastavena konvence pravidla. Před změnou konvence musíte odstranit všechna existující pravidla. Když změníte konvence, pravidla mají jinou sadu povolených akcí.
Chcete-li nastavit konvence pravidel, přejděte na stránku Správa nastavení pravidla výběrem volby Regulace > Pravidla a následným klepnutím na volbu Spravovat nastavení pravidla. Případně můžete zavolat rozhraní API nastavení vynucení pravidla.
Konvence pravidel pro pravidla ochrany dat
Chcete-li nastavit konvenci pravidla, použijte uživatelské rozhraní nastavení Spravovat pravidla, nebo volejte rozhraní API nastavení vynucení pravidla a nastavte governance_access_type na jednu z těchto hodnot:
| Nastavení UI | Nastavení rozhraní API | Úmluva |
|---|---|---|
| Odemknuto | AEAD | Předvolba. Sleduje konvenci "Povolit vše autorům. Odepřít". Umožňuje přístup k datům, pokud to pravidlo neodmítne. Zapisujete pravidla zakazování přístupu k datům, maskování dat a filtrování řádků z dat. |
| Uzamčeno | DEAA | Sleduje konvenci "Odepřít vše autorovi povolení". Odepří přístup k datům, pokud to pravidlo nepovolí. Zapisujete pravidla, která umožňují přístup k datům, maskování dat a filtrování řádků z dat. |
Konvence pravidel pro pravidla umístění dat
Chcete-li nastavit konvenci pravidla, použijte uživatelské rozhraní nastavení Spravovat pravidla, nebo volejte rozhraní API nastavení vynucení pravidla a nastavte governance_dlr_type na jednu z těchto hodnot:
| Nastavení UI | Nastavení rozhraní API | Úmluva |
|---|---|---|
| Odemknuto | AEAD | Sleduje konvenci "Povolit vše autorům. Odepřít". Umožňuje přístup k datům, pokud to pravidlo neodmítne. Zapisujete pravidla zakazování přístupu k datům, maskování dat a filtrování řádků z dat. |
| Uzamčeno | DEAA | Předvolba. Sleduje konvenci "Odepřít vše autorovi povolení". Odepří přístup k datům, pokud to pravidlo nepovolí. Zapisujete pravidla, která umožňují přístup k datům, maskování dat a filtrování řádků z dat. |
Nastavení priority pro akce pravidla a maskovací metody
Po definování konvencí pravidel pomáhá určit prioritu pravidel a maskovacích metod, které vám pomohou určit:
- Pravidlo, které má být použito v případě, že pro stejné datové hodnoty platí více pravidel, která mají odlišné akce.
- Metoda maskování, která se použije, když se více pravidel, která mají odlišné metody maskování, použijí na stejné datové hodnoty.
Chcete-li nastavit precedenční nastavení pravidel, přejděte na stránku Správa nastavení pravidel výběrem volby Regulace > Pravidla a následným klepnutím na volbu Spravovat nastavení pravidel.
Přednost akce pravidla
Priorita akce pravidla určuje nejbezpečnější nebo nejmírnější přístup uživatelů k aktivu. Akce, v pořadí shovívavosti, jsou: Povolit přístup, maska a filtr, odepřít přístup.
Příklad použití této priority je aktiv lidských zdrojů je sdíleno mezi personálních oddělení. Konvence pravidla je nastavena na odepření přístupu. Pravidlo uvádí, zda je aktivum označeno jako dokument lidských zdrojů, a pokud je uživatel v rámci skupiny uživatelů lidských zdrojů, pak povolí přístup. Další pravidlo uvádí, že pokud pravidlo obsahuje finanční informace zaměstnance, tyto informace musí být maskovány.
Finanční informace zaměstnance se uchovávají v databázi s tabulkami, které kombinují úlohy, plat a data do důchodu. Tabulka Úlohy obsahuje data pro všechny typy zaměstnanců a sloupec RetireType , který označuje stav vyřazení zaměstnanců. Třetí pravidlo vyloučí všechny řádky, je-li hodnota sloupce RetireType Retired.
Jsou-li všechna pravidla v platnosti, rozhodnutí Allow access z prvního pravidla je převráceno rozhodnutím maskovat data druhého pravidla, když Most secure action wins. Třetí pravidlo filtruje všechny řádky, kde je parametr RetireType nastaven na hodnotu Retired.
Maskování předchozí metody
Metoda maskování přednost určuje transformaci datových hodnot z nejsoukromosti nebo nejužitečnějšího obslužného programu. Priorita je použita, když je akce pravidla Maskovat a určuje, jak jsou maskovány hodnoty dat. Maskovací metody, v pořadí ochrany soukromí, jsou: Redact, Substitute, Obfuscate. Maskovací metody v pořadí obslužných programů jsou: Zafuscate, Substitute, Redact.
Příklad použití této priority je účetní vytvořený pravidlem, které určuje, že čísla kreditních karet musí být zmatená. Ming the numbers allow only claims representatives to see a card number to help customers who want to return their merchandise. Účetní vytvořil další pravidlo, které rediguje všechny čísla kreditní karty, pokud jste v oddělení prodeje.
Když zaměstnanec, který je v oddělení prodeje a reklamačních oddělení, přistupuje ke stejné informaci o kreditní kartě, obě maskovací metody pracují na stejných datech. Je-li konvence pravidla nejbezpečnější, má přednost maskování metody redakce redakce, ke kterým se přistupuje z prodeje. Avšak, protože zaměstnanec je také v oddělení nároku, že zaměstnanec může vidět poslední čtyři číslice zamlžené číslo kreditní karty.
Scénář: Použití konvencí a pořadí
Následující příklad kombinuje konvenci pravidla, prioritu akce pravidla a prioritu metody maskování. Společně vytvářejí flexibilní volby pro ochranu dat.
Clarice vytvořila tabulku zaměstnanců a používá nastavení pravidla a pravidla ochrany dat k ochraně dat zaměstnanců od jiných týmů v její společnosti. Chrání data zaměstnanců tím, že nejprve stanoví konvence a přednost před pravidly, která vytváří, a pak navrhuje pravidla.
Scénář: Vytváření konvencí a priority
V části Správa nastavení pravidlaClarice zvolila následující volby:
- Konvence: Neuzamčená konvence přístupu k datům, která následuje konvencí "Povolit vše autorům."
- Priorita akce pravidla: Nejmírnější akce zvítězí
- Přednost metody maskování pravidla: Metoda s největším vítězováním soukromí
Scénář: Vytvoření pravidel ochrany dat
Clarice vytváří tři pravidla pro ochranu dat v následující tabulce Employee Spreadsheet:
Pravidlo 1: If the user group is the Sales team, then deny access to the data in the asset. Kdokoli z prodejního týmu nevidí žádná data vlastněná společností Clarice.
Pravidlo 2: If the asset name is Employee Spreadsheet and it contains columns named Last Name, Email Address, then mask by obfuscating all columns named Last Name and Email Address. Následující příklad ukazuje sloupce Příjmení a E-mailové adresy, které jsou zamlžené v tabulce zaměstnanců, když k nim někdo v sekci Finance přistupuje.
Pravidlo 3: If the user group is the Sales team and that user is accessing the Employee Spreadsheet, then mask by redacting the column named Email Address. Následující příklad ukazuje, kdy obchodní tým přistupuje k tabulce, nemají přístup k odepření přístupu kvůli shovívavé prioritě pravidla. Mohou vidět zamlžené poslední názvy. Protože však Clarice vybrala většinu soukromých maskování metody maskování, jsou e-mailové adresy redigovány.
Další informace
- Plánování změny výchozího chování pravidla
- Vynucení pravidel ochrany dat
- Návrh pravidel ochrany dat
- Návrh obchodních termínů
- Vynucení pravidel pro umístění dat
- Návrh pravidel umístění dat
Nadřízené téma: Správa produktu Watson Knowledge Catalog