La specifica dell'eredità del termine di business, la definizione delle convenzioni di accesso ai dati, la precedenza dell'azione delle regole e la precedenza del metodo di mascheramento prima di creare regole di protezione dei dati e regole di posizione dei dati semplificano il modo in cui le regole create si comportano e proteggono i dati in modo congruente.
Determinare se si desidera che i termini di business che hanno termini di business dipendenti siano inclusi anche quando vengono valutate le regole di protezione dati e le regole di ubicazione dati.
Scegliere tra due tipi di convenzioni di accesso dati per le regole di protezione dati e le regole di ubicazione dati. È possibile consentire l'accesso ai dati a meno che una regola non lo impedisca o negare l'accesso ai dati a meno che una regola non lo consenta.
È anche possibile scegliere una precedenza per le regole e i metodi di mascheramento. La precedenza dell'azione della regola viene applicata quando più regole hanno azioni differenti che si applicano agli stessi valori di dati. Il metodo di mascheramento viene applicato quando più regole che hanno metodi di mascheramento differenti si applicano agli stessi valori di dati.
Prima di creare le regole di protezione dei dati e le regole di ubicazione dei dati, pianificare e valutare chi le regole consentono di accedere ai dati o negare l'accesso ai dati. La progettazione delle regole dopo un'attenta pianificazione fornisce una solida base per determinare i criteri per applicare le regole e le azioni di applicazione corrispondenti. Questo attento processo di pianificazione riduce anche le possibilità di una decisione futura di cambiare l'accesso alle regole. Se si decide successivamente di modificare il paradigma di accesso per le regole, è necessario prima eliminare tutte le regole esistenti e quindi ricreare le nuove regole per tale classe di regole.
Le seguenti opzioni, convenzioni e precedenti del termine di business si applicano sia alle regole di protezione dei dati che alle regole di ubicazione dei dati.
Autorizzazioni richieste
Devi essere un amministratore dell'account IBM Cloud per impostare le convenzioni delle regole.
Decisione sull'applicazione delle norme sulla protezione dei dati
Qualsiasi attività che esegue query per una decisione di valutazione sull'accesso ai dati è un evento verificabile. Gli eventi controllabili vengono generati e inoltrati al servizio di registrazione di controllo. Puoi tenere traccia delle seguenti decisioni di applicazione come eventi di controllo quando Invia le valutazioni delle policy ai log di controllo la casella di controllo è selezionata:
wdp-policy-service.policy_item.evaluateItem– Valutare un articolo.wdp-policy-service.policy_item.evaluateItems– Valutare gli elementi.wdp-policy-service.policy_resource.evaluateResource– Valutare una risorsa.wdp-policy-service.policy_resource.evaluateResources– Valutare le risorse.
Valutazione delle regole e dell'eredità dei termini di business
Selezionare Eredità di termini di business quando si desidera che i termini di business dipendenti di una relazione di tipo gerarchica vengano inclusi quando vengono valutate regole di protezione dati e regole di posizione dati. Ad esempio, il termine aziendale Prestito ha un tipo di relazione con Prestito per studenti e Prestito personale. Il termine di business Prestito e i suoi tipi secondari Prestito per studenti e Prestito personale sono tutti inclusi quando vengono valutate le regole di protezione dati e le regole di posizione dei dati. Per ulteriori informazioni sulle relazioni di tipo gerarchico tra i termini di business, consultare Progettazione di termini di business.
Consentire l'accesso alla convenzione sui dati
Il comportamento predefinito nella convenzione di accesso consentito è per l'accesso ai dati da concedere. Se si desidera proteggere dati specifici, è necessario scrivere regole che negano esplicitamente determinati accessi ai dati in base agli attributi utente o dati.
Con la convenzione Consenti accesso ai dati, le regole di protezione dei dati e le regole di ubicazione dei dati hanno queste azioni disponibili:
- Nega accesso ai dati
- Maschera dati
- Filtra righe
Un esempio di utilizzo di questa convenzione potrebbe includere la creazione di regole di protezione dei dati che consentono a tutti i dipendenti dell'azienda di accedere ai dati dei colleghi dipendenti in generale, ma di limitare l'accesso alle informazioni sul libro paga. A tale scopo, è possibile scrivere una regola specificando che qualsiasi asset contenente attributi che denotano che è correlato ai dati del libro paga deve essere negato per qualsiasi utente che non si trova nel reparto risorse umane. Pertanto, sono consentiti tutti i dati di tutti i tipi e viene negata solo l'eccezione dei dati relativi alle retribuzioni per i dipendenti che non sono in risorse umane.
La convenzione di accesso consentito è la convenzione di dati predefinita per le regole di protezione dati.
Negazione dell'accesso alla convenzione sui dati
Il comportamento predefinito per la convenzione di accesso negato è di negare l'accesso ai dati. Se si desidera rivelare dati specifici, è necessario scrivere regole che consentano esplicitamente a utenti specifici di visualizzare i dati. In un ambiente in cui l'accesso ai dati deve essere limitato, la convenzione di negazione consente di scrivere alcune regole in cui i dati sono consentiti invece di scrivere una regola per ogni caso in cui i dati devono essere limitati.
Un esempio di utilizzo della convenzione di negazione per le regole di protezione dei dati potrebbe essere un catalogo contenente informazioni personali sensibili che non è consentito visualizzare tra i reparti. In tal caso, qualsiasi asset di dati contrassegnato come marketing a cui accede un utente diverso da un membro del gruppo di marketing deve essere negato. Tuttavia, a un utente membro del gruppo di utenti di marketing è consentito visualizzare gli asset contrassegnati come marketing. La convenzione comporta che a tutti gli utenti venga negato l'accesso a tutti i dati, tranne agli utenti del gruppo di utenti di marketing, a cui è consentito l'accesso ai dati contrassegnati come marketing dalla regola di protezione dei dati.
L'esempio si applica anche alle regole di ubicazione dei dati e la convenzione di dati predefinita per le regole di ubicazione dei dati è nega accesso.
Un esempio di utilizzo della convenzione di negazione per le regole di ubicazione dei dati potrebbe essere un catalogo contenente informazioni personali sensibili che non è consentito oltrepassare i confini nazionali. In tal caso, è necessario negare la creazione di una regola di ubicazione dati che specifichi tutti i dati che si spostano da un'ubicazione ad un'altra. Tuttavia, poiché ci sono quote di condivisione dei dati tra alcune località, tutti gli spostamenti di dati sarebbero negati, ad eccezione di una regola che specifica che devono essere consentiti gli spostamenti di dati da una località in Cile a una località in Argentina.
Con la convenzione di negazione dei dati di accesso, le regole di protezione dei dati e le regole di ubicazione dei dati hanno queste azioni disponibili:
- Consenti accesso ai dati
- Maschera dati
- Filtra righe
Impostazione della convenzione di accesso ai dati
La convenzione di regole deve essere impostata prima che il team crei regole di protezione dati e regole di ubicazione dati. È necessario eliminare le regole esistenti prima di modificare la convenzione. Quando si modifica la convenzione, le regole hanno una serie diversa di azioni consentite.
Per impostare le convenzioni delle regole, passare alla pagina Gestisci impostazioni regola selezionando Governance> Regole e facendo clic su Gestisci impostazioni regola. In alternativa, è possibile chiamare l'API per l'impostazione dell'applicazione delle regole.
Convenzione delle norme per la protezione dei dati
Per impostare la convenzione della regola, utilizzare l'interfaccia utente Gestione impostazioni regole o richiamare l'API per l'impostazione dell'applicazione delle regole e impostare 'governance_access_type su uno di questi valori:
| Impostazione UI | Impostazione API | Convenzione |
|---|---|---|
| Sbloccato | AEAD | Valore predefinito. Segue la convenzione AEAD ( allow everything author deny ). Consente l'accesso ai dati a meno che una regola non lo neghi. Si scrivono regole che negano l'accesso ai dati, mascherano i dati e filtrano le righe dai dati. |
| Bloccato | DEAA | Segue la convenzione deny everything author allow (DEAA). Nega l'accesso ai dati a meno che una regola non lo consenta. Si scrivono regole che consentono l'accesso ai dati, mascherano i dati e filtrano le righe dai dati. |
Se non è possibile valutare alcuna regola di trasformazione, il risultato assume come valore predefinito le seguenti decisioni di convenzione:
Denyper BloccatoAllowper Sbloccato
Convenzione della regola per le regole di ubicazione dei dati
Per impostare la convenzione della regola, utilizzare l'interfaccia utente Gestione impostazioni regole o richiamare l'API per l'impostazione dell'applicazione delle regole e impostare 'governance_dlr_type su uno di questi valori:
| Impostazione UI | Impostazione API | Convenzione |
|---|---|---|
| Sbloccato | AEAD | Segue la convenzione AEAD ( allow everything author deny ). Consente l'accesso ai dati a meno che una regola non lo neghi. Si scrivono regole che negano l'accesso ai dati, mascherano i dati e filtrano le righe dai dati. |
| Bloccato | DEAA | Valore predefinito. Segue la convenzione deny everything author allow (DEAA). Nega l'accesso ai dati a meno che una regola non lo consenta. Si scrivono regole che consentono l'accesso ai dati, mascherano i dati e filtrano le righe dai dati. |
Impostazione della precedenza per azioni di regole e metodi di mascheramento
Dopo aver definito le convenzioni delle regole, stabilire una precedenza per regole e metodi di mascheramento consente di determinare:
- L'azione da applicare quando più regole che hanno azioni differenti si applicano agli stessi valori di dati.
- Il metodo di mascheramento da applicare quando più regole che hanno metodi di mascheramento differenti si applicano agli stessi dati.
Per impostare i precedenti delle regole, andare alla pagina Gestisci impostazioni regola selezionando Governance> Regole e facendo clic su Gestisci impostazioni regola.
Precedenza delle azioni della regola
La precedenza dell'azione della regola specifica l'accesso di applicazione più sicuro, più indulgente o gerarchico che gli utenti hanno per un asset. Le azioni, in ordine di clemenza, sono: Consenti accesso, Maschera e filtro, Nega accesso.
Un esempio di applicazione di questa precedenza è che le risorse umane sono condivise tra il dipartimento delle risorse umane. La convenzione di regola è impostata per negare accesso. Una regola specifica se un asset è contrassegnato come un documento di risorse umane e se l'utente si trova all'interno del gruppo di utenti delle risorse umane, consentire l'accesso. Un'altra regola indica che se una regola contiene informazioni finanziarie dei dipendenti, tali informazioni devono essere mascherate.
Le informazioni finanziarie dei dipendenti vengono conservate in un database con tabelle che combinano i dati di lavoro, stipendio e pensionamento. La tabella Lavori contiene dati per tutti i tipi di dipendenti e una colonna RetireType che indica lo stato di pensionamento dei dipendenti. Una terza regola esclude tutte le righe se il valore della colonna RetireType è Retired.
Quando tutte le regole sono attive, la decisione di Allow access dalla prima regola viene annullata dalla decisione di mascherare i dati della seconda regola quando Most secure action wins. La terza regola filtra tutte le righe in cui RetireType è impostato su Retired.
Applicazione gerarchica come precedenza dell'azione della regola
L'applicazione gerarchica è di particolare interesse se è necessario un accesso ai dati più restrittivo e si desidera comunque scrivere regole più generiche. Tuttavia, il comportamento risultante è possibile scrivendo regole disgiunte per ogni combinazione di accesso di tipi di utenti e dati. L'opzione di applicazione gerarchica come precedenza dell'azione della regola, fornisce un processo di pensiero semplificato pensando come due domande separate:
A chi è concesso l'accesso a quale asset? Quindi, è possibile rimuovere molte delle domande relative al mascheramento di determinati tipi di dati e semplificare la decisione in due sole opzioni di
AllowoDeny.Quali dati devono essere mascherati? Quindi puoi per lo più ignorare lo stato della prima domanda per concedere l'accesso. È ora possibile scrivere una regola di mascheramento più astratta, come ad esempio Se l'asset di dati contiene una colonna della classe di dati
sensitive personal data, revisionare le colonne con la classe di datisensitive personal data. Questa regola al di fuori di una configurazione gerarchica include una concessione implicita di accesso all'asset con mascheramento applicato.
L'opzione per impostare la precedenza della decisione della regola su Applicazione gerarchica può essere impostata dalla procedura guidata Gestisci impostazioni regola o in alternativa dall'impostazione del valore HIERARCHICAL per API access_decision_precedence. L'impostazione Applicazione gerarchica configura una valutazione a due livelli per le regole di protezione dati. Il primo livello valuta le regole per una decisione, che risulta in azioni Allow o Deny , senza considerare alcuna azione di mascheramento. Quindi, solo se la decisione dal primo livello è Allow access, un secondo livello viene valutato considerando le regole con un'azione Transform . Per visualizzare i dati mascherati o non elaborati, è necessaria almeno una decisione Allow .
- Per convenzione
Locked, questa decisioneAllowpuò essere raggiunta solo con una regola con azioneAllow. Nella convenzioneLocked, se si dispone di regole che risultano in decisioniTransformoMask, ma non si dispone di una regolaAllowche concede l'accesso, il risultato rimaneDeny. Tuttavia, se si dispone di più regole con azioni diAlloweTransform,Allowprocede con la valutazione diTransforme la decisione combinata risultante è le azioni di mascheramento risultanti. - Per convenzione
Unlocked, la precedenza gerarchica diventa equivalente alla precedenza Most secure action wins (opzione APIRESTRICTIVE) poiché una decisioneAllowdal primo livello gerarchico è realizzabile solo senza regole effettive che risultano inDeny. Pertanto, se hai sia un'azioneDenyche un'azioneTransform, il risultato per l'azione Applicazione gerarchica (opzione APIHIERARCHICAL) e L'azione più sicura vince (opzione APIRESTRICTIVE) è l'azioneDeny.
Precedenza del metodo di mascheramento
La precedenza del metodo di mascheramento specifica la trasformazione dei valori dei dati dalla maggior parte della privacy o del programma di utilità. La precedenza viene applicata quando un'azione della regola è Maschera e determina il modo in cui i valori dei dati vengono mascherati. I metodi di mascheramento, in ordine di privacy, sono: Oscura, Sostituisci, Offusca. I metodi di mascheramento, in ordine di utilità, sono: Offusca, Sostituisci, Oscura.
Un esempio di applicazione di questa precedenza è un contabile creato una regola che specifica che i numeri di carta di credito devono essere offuscati. Il mascheramento dei numeri consente solo ai rappresentanti delle richieste di indennizzo di visualizzare un numero di carta per aiutare i clienti che desiderano restituire la propria merce. Il contabile ha creato un'altra regola che redige tutti i numeri di carta di credito se si è nel reparto vendite.
Quando un dipendente che si trova nel reparto vendite e nel reparto reclami accede alle stesse informazioni della carta di credito, entrambi i metodi di mascheramento agiscono sugli stessi dati. Se la convenzione della regola è più sicura, la precedenza del metodo di mascheramento redige le informazioni a cui le vendite accedono. Tuttavia, poiché il dipendente si trova anche nel reparto reclami, può visualizzare le ultime quattro cifre del numero di carta di credito offuscato.
Scenario: applicazione di convenzioni e precedenza
Il seguente esempio combina la convenzione della regola, la precedenza dell'azione della regola e la priorità del metodo di mascheramento. Utilizzati insieme, creano opzioni flessibili per proteggere i dati.
Clarice ha creato un foglio di calcolo dei dipendenti e utilizza le impostazioni delle regole e le regole di protezione dei dati per proteggere i dati dei dipendenti da altri team della sua società. Protegge i dati dei dipendenti stabilendo prima le convenzioni e la precedenza per le regole che sta creando e quindi progettando le regole.
Scenario: stabilire convenzioni e precedenza
Da Gestione delle impostazioni della regola, Clarice ha selezionato le seguenti opzioni:
- Convenzione: convenzione Unlocked di accesso ai dati che segue la convenzione AEAD ( allow everything author deny ).
- Precedenza azione regola: L'azione più indulgente vince
- Precedenza del metodo di mascheramento regole: Il metodo con la maggior parte della privacy vince
Scenario: creazione di regole di protezione dati
Clarice crea tre regole per proteggere i dati nel seguente foglio di calcolo dei dipendenti:
Regola 1: If the user group is the Sales team, then deny access to the data in the asset. chiunque del team di vendita non può visualizzare alcun dato di proprietà di Clarice.
Regola 2: If the asset name is Employee Spreadsheet and it contains columns named Last Name, Email Address, then mask by obfuscating all columns named Last Name and Email Address. il seguente esempio mostra che le colonne Cognome e Indirizzo email sono offuscate nel foglio di calcolo dei dipendenti quando vi accede qualcuno in Finance.
Regola 3: If the user group is the Sales team and that user is accessing the Employee Spreadsheet, then mask by redacting the column named Email Address. il seguente esempio mostra quando il team di vendita accede al foglio di calcolo, l'accesso non viene negato a causa della precedenza della regola indulgente. Possono vedere i cognomi offuscati. Tuttavia, poiché Clarice ha selezionato la precedenza del metodo di mascheramento più privato, gli indirizzi email vengono redatti.
Ulteriori informazioni
- Pianificazione della modifica del comportamento della regola predefinito
- Applicazione delle norme di protezione dati
- Progettazione di regole di protezione dati
- Progettazione di termini di business
- Applicazione delle regole di ubicazione dati
- Progettazione delle regole di ubicazione dati
Argomento principale: GestireIBM Knowledge Catalog