Definieren einer Data Control-Richtlinie
Mit der Data Control-Richtlinie können Sie die mit der versehentlichen Übertragung vertraulicher Daten verbundenen Risiken eindämmen.
Jedes Unternehmen definiert „vertrauliche Daten“ auf seine eigene Weise. Einige Beispiele:
- Kundendaten
- Finanzdaten (z.B. Kreditkartennummern)
- Vertrauliche Dokumente
Wenn die Data Control-Richtlinie aktiviert ist, überwacht Sophos die Benutzeraktionen an Datenaustrittspunkten:
- Übertragungen von Dateien auf Speichermedien (Wechselspeicher, optische Speicher und Festplatten).
- Hochladen von Dateien in Anwendungen (Webbrowser, E-Mail-Clients und Instant-Messaging-Clients).
Eine Data Control-Regel besteht aus drei Elementen:
- Aufzufindende Objekte: Dateiinhalt, Dateitypen, Dateinamen etc.
- Zu überwachende Objekte: z.B. Speichertypen und Anwendungen.
- Zu ergreifende Maßnahmen: Dazu zählen „Dateiübertragung zulassen und Ereignis protokollieren“ (Überwachungsmodus), „Benutzerbestätigte Übertragungen zulassen und Ereignis protokollieren“ (Lernmodus) und „Übertragung sperren und Ereignis protokollieren“ (Einschränkungsmodus).
So können Sie z.B. eine Data Control-Regel zur Protokollierung des Hochladens einer Tabelle über Internet Explorer definieren. Oder Sie definieren eine Regel, die das Kopieren von Kundenadressen auf eine DVD ermöglicht, wenn der Benutzer dies bestätigt.
Die Definition vertraulicher Daten auf Inhaltsbasis gestaltet sich etwas schwieriger. In sog. Content Control Lists hat Sophos Definitionen vertraulicher Daten zusammengestellt, die diese Aufgabe vereinfachen. Diese Listen enthalten eine breitgefächerte Auswahl personenbezogener und finanzieller Datenformate und werden regelmäßig von Sophos ergänzt. Bei Bedarf können Sie auch eigene Content Control Lists erstellen.
Die Data Control-Richtlinie wird auch auf Computern durchgesetzt, die nicht ständig mit dem Unternehmensnetzwerk verbunden sind.