Translation not up to date
Określanie dziedziczenia terminu biznesowego, definiowanie konwencji dostępu do danych, kolejność wykonywania działań reguł i kolejność maskowania przed utworzeniem reguł ochrony danych i reguł położenia danych usprawnia sposób, w jaki tworzone reguły zachowują się i chronią dane w sposób spójny.
Określ, czy terminy biznesowe, które mają zależne warunki biznesowe, są typu relacji, które mają być uwzględniane w przypadku wartościowania reguł ochrony danych i reguł położenia danych.
Należy wybrać między dwoma typami konwencji dostępu do danych dla reguł ochrony danych i reguł położenia danych. Można zezwolić na dostęp do danych, chyba że reguła ta uniemożliwia dostęp do danych. Można też odmówić dostępu do danych, o ile reguła nie zezwala na dostęp do danych.
Istnieje również możliwość wyboru kolejności reguł i metod maskowania. Kolejność wykonywania działań reguł jest stosowana, gdy wiele reguł ma różne działania, które mają zastosowanie do tych samych wartości danych. Metoda maskowania jest stosowana, gdy do tych samych wartości danych mają zastosowanie wiele reguł, które mają różne metody maskowania.
Przed utworzeniem reguł ochrony danych i reguł położenia danych należy zaplanować i ocenić, kto z nich ma dostęp do danych lub odmawiać dostępu do danych. Projektowanie reguł po starannym planowaniu zapewnia solidne podstawy do określania kryteriów egzekwowania reguł i odpowiednich działań wymuszania. Ten ostrożny proces planowania minimalizuje również szansę na podjęcie przyszłej decyzji w celu przełączenia dostępu do reguły. Jeśli później użytkownik zdecyduje się na zmianę paradygmatu dostępu dla reguł, należy najpierw usunąć wszystkie istniejące reguły, a następnie ponownie utworzyć nowe reguły dla tej klasy reguł.
Następujące opcje, konwencje i precedensy dotyczące terminu biznesowego mają zastosowanie zarówno do reguł ochrony danych, jak i do reguł położenia danych.
wymagane uprawnienia
Aby ustawić konwencje reguł, użytkownik musi być administratorem konta IBM Cloud .
Wartościowanie reguł i dziedziczenia terminu biznesowego
Wybierz opcję Dziedziczenie terminu biznesowego , jeśli zależne warunki biznesowe relacji typu hierarchicznego mają być uwzględniane w przypadku wartościowania reguł ochrony danych i reguł położenia danych. Na przykład termin biznesowy Pożyczka ma typ relacji z Pożyczka studencka i Pożyczka osobista. Termin biznesowy pożyczka i jego podtypy Pożyczka studencka i Pożyczka osobista są uwzględniane po wartościowaniu reguł ochrony danych i reguł położenia danych. Więcej informacji na temat hierarchicznych relacji typu między terminami biznesowymi można znaleźć w sekcji Projektowanie warunków biznesowych.
Zezwalanie na dostęp do konwencji danych
Domyślnym zachowaniem w konwencji dostępu jest dostęp do danych, który ma zostać przyznany. Aby chronić określone dane, należy napisać reguły, które jawnie odmawiają dostępu do określonych danych na podstawie atrybutów użytkownika lub atrybutów danych.
W przypadku konwencji dotyczących dostępu do danych, reguły ochrony danych i reguły położenia danych mają następujące dostępne działania:
- Odmowa dostępu do danych
- Maskuj dane
- Filtruj wiersze
Przykład użycia tej konwencji może obejmować tworzenie reguł ochrony danych, które umożliwiają wszystkim pracownikom firmy dostęp do innych danych pracowników w ogóle, ale ograniczanie dostępu do informacji o wynagrodzenie. Aby to osiągnąć, można napisać regułę określającą, że każdy zasób zawierający atrybuty, oznaczający, że jest powiązany z danymi listy płac, musi zostać odmówiony dla każdego użytkownika, który nie znajduje się w dziale zasobów ludzkich. W związku z tym wszystkie dane wszystkich typów są dozwolone, a jedynie wyjątek danych z listy płac dla pracowników, którzy nie znajdują się w zasobach ludzkich, jest zabronionych.
Konwencja zezwalania na dostęp jest domyślną konwencją danych dla reguł ochrony danych.
Odmawianie dostępu do konwencji danych
Domyślnym zachowaniem konwencji odmowy dostępu jest odmawianie dostępu do danych. Jeśli chcesz ujawnić konkretne dane, musisz napisać reguły, które jawnie zezwalają konkretnym użytkownikom na wyświetlenie danych. W środowisku, w którym większość dostępu do danych musi być ograniczona, konwencja odmowy zezwala na napisanie kilku reguł, w których dane są dozwolone, zamiast tworzyć regułę dla każdego przypadku, w którym dane muszą być ograniczone.
Przykładem zastosowania konwencji odmowy ochrony danych może być katalog zawierający poufne dane osobowe, które nie mogą być przeglądane między działami. W takim przypadku każdy zasób danych, który jest oznaczony jako marketing , do którego uzyskiwany jest dostęp przez dowolnego użytkownika innego niż członek grupy marketingowej, musi zostać odrzucony. Jednak użytkownik, który jest członkiem grupy użytkowników marketingowych, może wyświetlać zasoby, które są oznaczone jako marketing. Konwencja powoduje, że wszystkim użytkownikom odmawia się dostępu do wszystkich danych, z wyjątkiem użytkowników z grupy użytkowników marketingowych, którzy mogą uzyskać dostęp do danych oznaczonych jako marketing przez regułę ochrony danych.
Przykład dotyczy również reguł położenia danych, a domyślną konwencją danych dla reguł położenia danych jest odmawianie dostępu.
Przykładem zastosowania konwencji odmownej dla reguł położenia danych może być katalog zawierający poufne dane osobowe, które nie mogą przekraczać granic krajów. W takim przypadku należy utworzyć regułę położenia danych, która określa, że wszystkie dane przemieszczające się z dowolnego miejsca do innego mają zostać odrzucone. Jednakże ze względu na fakt, że między niektórymi lokalizacjami istnieją uprawnienia do dzielenia się danymi, nie można by było wykluczyć, że ruch danych z miejsca w Chile do lokalizacji w Argentynie ma być dozwolony.
Zgodnie z konwencją danych o odmowach dostępu, reguły ochrony danych i reguły położenia danych mają następujące dostępne działania:
- Zezwól na dostęp do danych
- Maskuj dane
- Filtruj wiersze
Ustawianie konwencji dostępu do danych
Konwencja reguł musi zostać ustawiona przed tym, jak zespół tworzy reguły ochrony danych i reguły położenia danych. Przed zmianą konwencji należy usunąć wszystkie istniejące reguły. W przypadku zmiany konwencji reguły mają inny zestaw dozwolonych działań.
Aby ustawić konwencje reguł, należy przejść do strony Zarządzanie ustawieniami reguł , wybierając opcję Zarządzanie > Reguły , a następnie klikając opcję Zarządzaj ustawieniami reguł. Alternatywnie można wywołać interfejs API ustawień wymuszania reguł.
Konwencja reguł dotyczących ochrony danych
Aby ustawić konwencję reguł, należy użyć interfejsu użytkownika zarządzania ustawieniami reguł lub wywołać interfejs API ustawienia wymuszania reguł i ustawić parametr governance_access_type na jedną z następujących wartości:
| Ustawienie interfejsu użytkownika | Ustawienia interfejsu API | Konwencja |
|---|---|---|
| Odblokowano | AEAD | Wartość domyślna. Wynika z konwencji "Zezwól na wszystko autora autora". Umożliwia dostęp do danych, o ile reguła nie odmawia dostępu do danych. Użytkownik zapisuje reguły, które odmawiają dostępu do danych, maskują dane i filtrują wiersze z danych. |
| Zablokowane | DEAA | Podąża za konwencją "Odmów wszystkiego autora". Odmawia dostępu do danych, o ile reguła nie zezwala na dostęp do danych. Użytkownik zapisuje reguły, które umożliwiają dostęp do danych, maskuje dane i filtruje wiersze z danych. |
Konwencja reguł dotyczących reguł położenia danych
Aby ustawić konwencję reguł, należy użyć interfejsu użytkownika zarządzania ustawieniami reguł lub wywołać interfejs API ustawienia wymuszania reguł i ustawić parametr governance_dlr_type na jedną z następujących wartości:
| Ustawienie interfejsu użytkownika | Ustawienia interfejsu API | Konwencja |
|---|---|---|
| Odblokowano | AEAD | Wynika z konwencji "Zezwól na wszystko autora autora". Umożliwia dostęp do danych, o ile reguła nie odmawia dostępu do danych. Użytkownik zapisuje reguły, które odmawiają dostępu do danych, maskują dane i filtrują wiersze z danych. |
| Zablokowane | DEAA | Wartość domyślna. Podąża za konwencją "Odmów wszystkiego autora". Odmawia dostępu do danych, o ile reguła nie zezwala na dostęp do danych. Użytkownik zapisuje reguły, które umożliwiają dostęp do danych, maskuje dane i filtruje wiersze z danych. |
Ustawianie kolejności wykonywania działań reguł i metod maskowania
Po zdefiniowaniu konwencji reguł ustanawianie kolejności reguł i metod maskowania pomaga określić:
- Reguła, która ma być stosowana, gdy do tych samych wartości danych mają zastosowanie wiele reguł, które mają różne działania.
- Metoda maskowania stosowana w przypadku, gdy do tych samych wartości danych mają zastosowanie wiele reguł, które mają różne metody maskowania.
Aby ustawić precedensy reguły, należy przejść do strony Zarządzanie ustawieniami reguł , wybierając opcję Zarządzanie > Reguły , a następnie klikając opcję Zarządzaj ustawieniami reguł.
Kolejność wykonywania reguł
Priorytet działania reguły określa najbardziej bezpieczne lub najbardziej łagodne uprawnienia dostępu użytkowników do zasobu. Działania, w kolejności złagodzenia, są następujące: Zezwól na dostęp, maskę i filtr, Odmów dostępu.
Przykładem zastosowania tego priorytetu są zasoby ludzkie, które są współużytkowane przez dział zasobów ludzkich. Konwencja reguł jest ustawiona w taki sposób, aby odmawiać dostępu. Reguła określa, czy zasób jest oznaczony jako dokument zasobów ludzkich, oraz czy użytkownik znajduje się w grupie użytkowników zasobów ludzkich, a następnie zezwala na dostęp. Inna reguła określa, że jeśli reguła zawiera informacje finansowe pracownika, informacje te muszą być zamaskowane.
Informacje finansowe pracownika są przechowywane w bazie danych z tabelami, które łączą dane o zadaniach, wynagrodzeniei emeryturach. Tabela Zadania zawiera dane dla wszystkich typów pracowników oraz kolumny RetireType , która wskazuje status wycofania pracowników. Trzecia reguła wyklucza wszystkie wiersze, jeśli wartością kolumny RetireType jest Retired.
Jeśli wszystkie reguły są aktywne, decyzja Allow access z pierwszej reguły jest pomijana przez decyzję w celu maskowania danych drugiej reguły, gdy Most secure action wins. Trzecia reguła filtruje wszystkie wiersze, w których parametr RetireType jest ustawiony na wartość Retired.
Kolejność metod maskujących
Kolejność maskowania określa transformację wartości danych z najbardziej prywatności lub z najbardziej użytecznej. Kolejność jest stosowana, gdy działanie reguły jest maską, i określa sposób maskowania wartości danych. Metody maskowania, w porządku prywatności, to: Redact, Substitute, Obfuscate. Metody maskowania, w porządku użyteczności, są: Obfuscate, Substitute, Redact.
Przykładem zastosowania tej kolejności jest księgowy, który utworzył regułę, która określa numery kart kredytowych, które muszą być zaciemnione. Maskowanie liczb pozwala tylko przedstawicielom roszczeń na wyświetlenie numeru karty, aby pomóc klientom, którzy chcą zwrócić swój towar. Księgowy stworzył kolejną regułę, która redaktuje wszystkie numery kart kredytowych, jeśli jesteś w dziale sprzedaży.
Gdy pracownik, który znajduje się zarówno w dziale sprzedaży, jak i w dziale roszczeń, uzyskuje dostęp do tych samych informacji o karcie kredytowej, obie metody maskujące działają na tych samych danych. Jeśli konwencja reguły jest najbardziej bezpieczna, pierwszeństwo ma metoda maskowania, która powoduje utajenie informacji, do których dostęp uzyskuje się w wyniku sprzedaży. Jednak z uwagi na to, że pracownik jest również w dziale roszczeń, pracownik ten może zobaczyć ostatnie cztery cyfry obfusowanego numeru karty kredytowej.
Scenariusz: stosowanie konwencji i pierwszeństwo
W poniższym przykładzie przedstawiono połączenie konwencji reguł, kolejności wykonywania działań reguł i kolejności wykonywania metod maskujących. Używane razem, tworzą elastyczne opcje służące do ochrony danych.
Clarice stworzyła arkusz kalkulacyjny pracownika i korzysta z ustawień reguł i zasad ochrony danych w celu ochrony danych pracowników przed innymi zespołami w jej firmie. Chroni dane pracowników przez pierwsze ustalanie konwencji i pierwszeństwo przed tworzonym przez nią regułami, a następnie projektowaniem reguł.
Scenariusz: ustanawianie konwencji i pierwszeństwo
W sekcji Zarządzanie ustawieniami regułClarice wybrała następujące opcje:
- Konwencja: Odblokowana konwencja o dostępie do danych, która jest zgodna z konwencją "Zezwalaj na wszystko autorowi autora".
- Kolejność wykonywania działań reguł: Najbardziej łagodne działanie wygrywa
- Pierwszeństwo przed metodą maskowania reguł: Metoda z największą prywatnością wygrywa
Scenariusz: Tworzenie reguł ochrony danych
Clarice tworzy trzy reguły w celu ochrony danych w następującym arkuszu kalkulacyjnym pracownika:
Reguła 1: If the user group is the Sales team, then deny access to the data in the asset. Każdy z zespołu sprzedaży nie może wyświetlić żadnych danych, które należą do Clarice.
Reguła 2: If the asset name is Employee Spreadsheet and it contains columns named Last Name, Email Address, then mask by obfuscating all columns named Last Name and Email Address. W poniższym przykładzie kolumny Last Name (Nazwisko) i Email Address (Adres e-mail) są zaciemnione w arkuszu kalkulacyjnym pracownika, gdy dostęp do nich jest uzyskiwany przez osobę z działu finansów.
Reguła 3: If the user group is the Sales team and that user is accessing the Employee Spreadsheet, then mask by redacting the column named Email Address. W poniższym przykładzie pokazano, kiedy zespół sprzedaży uzyskuje dostęp do arkusza kalkulacyjnego, nie odmawia im dostępu ze względu na łagodny priorytet reguły. Mogą zobaczyć zaciemnione nazwiska. Ponieważ jednak Clarice wybrała najbardziej prywatną kolejność maskowania, adresy e-mail są redagowane.
Dowiedz się więcej
- Planowanie zmiany domyślnego zachowania reguły
- Wymuszanie reguł ochrony danych
- Projektowanie reguł ochrony danych
- Projektowanie terminów biznesowych
- Wymuszanie reguł położenia danych
- Projektowanie reguł położenia danych
Temat nadrzędny: Zarządzanie Watson Knowledge Catalog