Предотвращение утечек данных в электронных письмах и вложениях (Gmail DLP)

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Fundamentals, Education Standard и Education Plus. Сравните вашу версию.

Функция DLP для Gmail также доступна пользователям Cloud Identity Premium, имеющим лицензию на версии Google Workspace, включающие Gmail.

В консоли администратора Google можно создавать правила предотвращения потери данных (DLP) для управления конфиденциальной информацией, которой пользователи делятся в электронных письмах. В случае с DLP для Gmail правила применяются к сообщениям, отправляемым как внутри, так и за пределами вашей организации. Используйте правила для выявления конфиденциальной информации и предотвращения ее неправомерного распространения.

На этой странице

Функции DLP для Gmail

С помощью DLP Gmail вы можете:

  • Создавайте правила защиты от утечки данных (DLP) для Gmail или других приложений Google Workspace, использующих DLP, включая Gmail, Google Chat и Google Drive.
  • Используйте правила DLP для запуска соответствующих действий в случае нарушения правил:
    • Блокировка сообщений — Заблокировать доставку электронных писем и отправить пользователю уведомление.
    • Предупредить пользователей — Предупредить пользователей об обнаружении конфиденциальной информации в сообщении, но разрешить им отправить сообщение в любом случае.
    • Поместить сообщение в карантин — Поместить сообщение в карантин, чтобы администратор мог проверить его перед отправкой или возвратом.
    • Только для аудита — отправьте сообщение и зарегистрируйте событие DLP для последующего аудита с целью оценки влияния новых правил.
  • Задавайте условия, используя текстовые строки, а также предопределенные и пользовательские детекторы, такие как ключевые слова и регулярные выражения.
  • Добавьте правила, которые автоматически присваивают классификационные метки новым сообщениям на основе указанных вами условий. Например, присвойте классификационную метку «Конфиденциально», если сообщения содержат конфиденциальную, финансовую или персональную информацию.
  • Определяйте, когда для сообщения включен конфиденциальный режим, и используйте статус конфиденциального режима в качестве условия для разрешения отправки сообщений, содержащих конфиденциальную информацию.
  • Внедрите правила для отдельных организационных подразделений или групп, или для всей организации в целом.
  • Уведомлять администраторов о нарушениях правил в Центре оповещений, чтобы они могли провести расследование.
  • Сканируйте текст изображений во всех вложениях сообщений с помощью оптического распознавания символов (OCR).

Как работает DLP для Gmail?

Когда пользователь отправляет электронное письмо, DLP сканирует сообщение на наличие конфиденциальной информации. Если сообщение или вложение нарушает правило, к сообщению применяется действие, определенное в этом правиле.

Краткое описание процесса:

  1. Добавьте правила DLP, определяющие конфиденциальный контент и действия, которые необходимо предпринять в отношении сообщений, содержащих конфиденциальный контент.
  2. Когда пользователь отправляет электронное письмо, DLP сканирует его содержимое на предмет соответствия правилам.
  3. Если правило найдено, DLP применяет действие, определенное в этом правиле.
  4. Все события регистрируются в журнале событий правил для последующего анализа.

О синхронном и асинхронном сканировании

С помощью DLP для Gmail правила можно сканировать синхронно или асинхронно:

  • Синхронное сканирование — правила DLP сканируются, когда пользователь нажимает кнопку «Отправить» . Пользователь получает уведомление о конфиденциальном содержимом до того, как сообщение покинет его почтовый ящик. Gmail в веб-версии и мобильном приложении Gmail выполняет синхронное сканирование.

  • Асинхронное сканирование — правила DLP сканируются после того, как сообщение покидает почтовый ящик отправителя. Пользователи получают сообщение о том, что сообщение заблокировано или помещено в карантин, прежде чем оно будет доставлено получателю. Асинхронное сканирование происходит, когда пользователь отправляет сообщение с помощью стороннего почтового приложения и когда синхронное сканирование не удается.

Результаты синхронного и асинхронного сканирования

Синхронное сканирование: Gmail в веб-версии или мобильном приложении.

Когда срабатывает правило с действием «Блокировать сообщение» :

  • Появляется предупреждение, указывающее на невозможность отправки сообщения в текущем состоянии. Вы можете добавить пользовательское сообщение в правило для этого предупреждения.
  • В уведомлении есть опция «Назад к редактированию» , позволяющая пользователю вернуться к редактированию сообщения и обновить или удалить конфиденциальную информацию.
  • Когда пользователь повторно отправляет сообщение после редактирования, сообщение сканируется еще раз и проверяется на соответствие всем применимым правилам.

Когда срабатывает правило с действием «Предупредить пользователей» :

  • Появляется предупреждение о том, что сообщение может содержать конфиденциальную информацию. Вы можете добавить собственное сообщение предупреждения в параметрах настройки правила.
  • В уведомлении есть опция «Назад к редактированию» , позволяющая пользователю вернуться к редактированию сообщения и обновить или удалить конфиденциальную информацию.
  • В оповещении есть опция « Отправить в любом случае» , которая позволяет пользователю отправить сообщение в его текущем состоянии.

Когда срабатывает правило с действием "Поместить сообщение в карантин" :

  • Появляется предупреждение о том, что сообщение может содержать конфиденциальную информацию. Вы можете добавить собственное сообщение предупреждения в параметрах настройки правила.
  • В поле есть опция «Назад к редактированию» , поэтому пользователь может по желанию вернуться к редактированию сообщения и обновить или удалить конфиденциальную информацию.
  • В поле есть кнопка «Отправить на проверку» , позволяющая пользователю отправить сообщение на проверку администратору или другому уполномоченному пользователю. После проверки администратор может одобрить сообщение для доставки получателю или заблокировать его отправку.

Когда срабатывает правило с действием "Только аудит" :

  • Пользователь не видит уведомления, и сообщение доставляется получателям.
  • Сообщение о происшествии записывается в журналы аудита.

Примечание: Сообщения, сканируемые синхронно, могут быть повторно просканированы асинхронно в качестве дополнительной меры безопасности. Это может привести к блокировке сообщения, даже если во время синхронного сканирования не отображалось диалоговое окно.

Асинхронное сканирование: Gmail с использованием SMTP и сторонних почтовых приложений.

Когда срабатывает правило с действием «Блокировать сообщение» :

  • Отправитель увидит сообщение в папке «Отправленные ».
  • Отправитель получает сообщение о том, что сообщение было заблокировано. В правило для этого оповещения можно добавить пользовательское сообщение.

Когда срабатывает правило с действием «Предупредить пользователей» :

  • Отправитель увидит сообщение в папке «Отправленные ».
  • Отправитель получает сообщение о том, что сообщение было заблокировано. В правило для этого оповещения можно добавить пользовательское сообщение.
  • Для сообщений, отправленных с помощью сторонних почтовых приложений, подключенных к Gmail по протоколу SMTP, правила с действием « Предупредить пользователей» работают так же, как и правила с действием «Заблокировать сообщение» .

Когда срабатывает правило с действием "Поместить сообщение в карантин" :

  • Отправитель увидит сообщение в папке «Отправленные ».
  • Если сообщение не было отправлено, отправитель получает уведомление о том, что сообщение было помещено в карантин. В правило для этого уведомления можно добавить пользовательское сообщение.

Когда срабатывает правило с действием "Только аудит" :

  • Отправитель не получает уведомление, и сообщение доставляется получателю.

Асинхронное сканирование: Gmail в веб-версии или на мобильном устройстве.

При использовании Gmail в веб-версии или мобильном приложении сообщения дополнительно сканируются асинхронно в качестве дополнительной меры безопасности.

Когда срабатывает правило с действием «Блокировать сообщение» :

  • Отправитель увидит сообщение в папке «Отправленные ».
  • Отправитель получает сообщение о том, что сообщение было заблокировано. В правило для этого оповещения можно добавить пользовательское сообщение.

При срабатывании правила с действием «Предупредить пользователей» отправляется сообщение:

  • Отправитель может увидеть сообщение в папке «Отправленные ».
  • Сообщение о событии записывается в журнал событий правил.

Когда срабатывает правило с действием "Поместить сообщение в карантин" :

  • Отправитель может увидеть сообщение в папке «Отправленные ».
  • Если отправка сообщения была заблокирована рецензентом, они могут получить уведомление позже.

Когда срабатывает правило с действием "Только аудит" :

  • Отправитель не получает никакого уведомления, и сообщение доставляется получателю.

Сообщения, созданные автоматически другими продуктами Google.

Gmail отправляет автоматические уведомления и сообщения, созданные другими сервисами Google и Google Workspace, включая Google Календарь, Документы и Диск. Например, когда кто-то создает событие в Календаре и приглашает гостей, создается сообщение Gmail с подробной информацией о событии и отправляется участникам события. Сообщение сканируется на стороне сервера. Если содержимое сообщения соответствует условиям какого-либо правила, применяется действие правила.

Когда срабатывает правило с действием «Блокировать сообщение» :

  • Отправитель увидит сообщение в папке «Отправленные ».
  • Отправитель получает сообщение о том, что сообщение было заблокировано. Вы можете добавить пользовательское сообщение в правило для этого уведомления.

Когда срабатывает правило с действием «Предупредить пользователей» :

  • Сообщение отправлено.
  • Отправитель может увидеть сообщение в папке «Отправленные ».
  • Сообщение о событии записывается в журнал событий правил.

Когда срабатывает правило с действием "Поместить сообщение в карантин" :

  • Отправитель может получить уведомление позже, если отправка сообщения была предотвращена рецензентом.

Когда срабатывает правило с действием "Только аудит" :

  • Сообщение отправлено.
  • Отправитель не получает никакого уведомления.

Что сканируется?

Сканируются только исходящие сообщения. Тип содержимого для сканирования, указанный в условиях правила, определяет, какая часть сообщения будет сканироваться:

  • Все содержимое — тема сообщения, адресаты «Кому», «От кого», «Скрытая копия», «Копия» и текст сообщения — сканируются синхронно. Вложения сканируются асинхронно. Вложениями являются файлы и изображения. Имена файлов вложений также сканируются. Для получения более подробной информации перейдите к разделу «Поддерживаемые типы файлов» на этой странице.
    Вложения нельзя использовать в качестве условия для применения предупреждения , поскольку сканирование вложений всегда выполняется асинхронно.

    Важно : опция «Всё содержимое» сканирует только 5 типов заголовков: Тема, Кому, От кого, Скрытая копия и Копия. Эти заголовки доступны для синхронного сканирования немедленно. Для сканирования всех заголовков сообщения рекомендуется использовать один из следующих вариантов:

    • Добавьте условие с оператором ИЛИ для сканирования заголовков электронных писем.
    • Создайте отдельное правило, специально предназначенное для сканирования заголовков электронных писем.

  • Заголовки электронных писем — содержимое заголовков электронных писем. Хотя большинство заголовков сканируются асинхронно, заголовки Subject, To, From, Bcc и Cc сканируются как асинхронно, так и синхронно. Чтобы не мешать пользователям, избегайте установки отрицательного условия совпадения (условия NOT) для недоступных заголовков электронных писем. Заголовки электронных писем сканируются для проверки наличия конфиденциальной информации.

  • Тело сообщения — сканирование тела сообщения происходит синхронно, а сканирование вложений — асинхронно.

  • Субъект — Сканирование субъекта происходит синхронно.

  • Метка классификации — метки классификации, которые были применены пользователем вручную или автоматически с помощью правила DLP. Правило не может одновременно содержать условие «Метка классификации» и действие «Применить метки классификации» .

  • Статус конфиденциального режима — Указывает, включен ли в сообщении конфиденциальный режим. Рекомендуется использовать это условие в сочетании с другими условиями правил. Например, если в теле сообщения содержится налоговый идентификатор, а сообщение не использует конфиденциальный режим, отправка сообщения блокируется. Подробнее см. раздел «Защита сообщений Gmail с помощью конфиденциального режима» .

Поддерживаемые типы файлов вложений

Правила DLP сканируют следующие типы вложений:

  • Типы файлов документов: TXT, DOC, DOCX, RTF, HTML, XHTML, XML, PDF, PPT, PPTX, ODP, ODS, ODT, XLS, XLSX, PS, CSS, CSV, JSON, SH
  • Типы файлов изображений (при включенном распознавании текста): EPS, BMP, GIF, JPEG, PNG, а также изображения внутри файлов PDF.
  • Типы сжатых файлов: BZIP, RAR, TAR, ZIP
  • Пользовательские типы файлов — HWP, KML, KMZ, SDC, SDD, SDW, SXC, SXI, SXW, WML, XPS.

Множественные вложения

Если сообщение содержит более одного вложения, правило срабатывает, если хотя бы одно из вложений соответствует условию правила. Это иногда может приводить к неожиданным результатам в правилах, включающих условие NOT. Например, если используется условие NOT (содержимое содержит SSN) , и одно из вложений содержит SSN , условие истинно, и правило не будет срабатывать.

Как DLP взаимодействует с другими правилами обработки электронной почты?

Правила защиты от утечки данных (DLP) оцениваются до правил соответствия контента и правил маршрутизации.

Если правила DLP не допускают блокировку или помещение сообщения в карантин, то сообщение проверяется правилами соответствия содержимого и маршрутизации. Если правило соответствия содержимого или маршрутизации применяет действие, создающее еще одну копию сообщения (например, добавляет нового получателя), DLP сканирует новые копии сообщения перед их отправкой.
Для получения более подробной информации перейдите в раздел «Настройка правил для расширенной фильтрации содержимого электронной почты» .

DLP и группы Gmail

В этом разделе описывается, как правила DLP в Gmail взаимодействуют с группами.

Правила DLP применяются к группам только в том случае, если правило установлено для всей организации. Для групп правила DLP поддерживают только действие «Отклонить». Действия «Предупреждение» и «Карантин» для групп не поддерживаются.

Создание правил защиты от утечки данных для Gmail

  1. Перейти в меню а потом Правила > Создать правило > Защита данных .

    Для этого требуются права на просмотр и управление правилами DLP .

  2. Введите название правила и, при желании, описание.
  3. В разделе «Приложения» для Gmail нажмите на поле «Сообщение отправлено» .
  4. (Необязательно) Чтобы убедиться, что функция распознавания текста включена, нажмите «Проверить» и установите флажок в поле Gmail , чтобы включить распознавание текста для Gmail.
  5. Нажмите «Продолжить» .

  6. В разделе «Действия» , в подразделе Gmail , выберите нужный вариант.

    Все действия регистрируются в журнале событий правил.

    • Блокировка сообщения — Не отправляйте сообщение сразу, а выведите отправителю предупреждение о потенциально конфиденциальной информации в сообщении. Отправитель может отредактировать сообщение и отправить его снова.
    • Предупредите пользователей — не отправляйте сообщение сразу, а покажите отправителю предупреждение. Отправитель может отправить сообщение без изменений или отредактировать его и отправить повторно.
      Примечание : сканирование вложений всегда выполняется асинхронно, поэтому вы не можете использовать вложения в качестве условия для действия «Предупредить пользователей» в правиле.
    • Сообщение о карантине — Не отправлять сообщение сразу и отобразить уведомление отправителю. Отправитель может отправить сообщение без изменений или отправить его на проверку администратору или другому квалифицированному лицу. Необходимо выбрать один из вариантов в меню условий карантина .
    • Только для аудита — Сообщение отправлено. Оповещение не отображается. Сообщение сканируется на соответствие правилам и регистрируется как событие, которое администратор может просмотреть позже.
    • Применить метку классификации — Применить метку классификации к сообщениям, соответствующим условиям. Необходимо выбрать параметр в меню «Метка» и «Параметры поля» .
    • Добавить пользовательскую заметку — Добавляет пользовательский заголовок или нижний колонтитул к соответствующим электронным письмам.

  7. В поле «Выберите, когда должно применяться это действие» укажите, следует ли применять действие к внутренним сообщениям, внешним сообщениям или к обоим типам сообщений.

  8. (Необязательно) Чтобы создать пользовательское оповещение, в поле «Сообщение пользователя» установите флажок «Настроить сообщение» и введите текст оповещения. Оповещения могут содержать URL-адреса и до 300 символов (включая символы в URL-адресах). Если вы не создадите пользовательское сообщение, в поле отобразится сообщение по умолчанию.

  9. (Необязательно) Чтобы задать уровень серьезности сообщений о событиях, для параметра «Оповещения » выберите уровень серьезности: низкий , средний или высокий . Уровень серьезности регистрируется в журнале событий правил и может использоваться для расследования инцидентов.

  10. (Необязательно) Чтобы отправлять оповещения о событиях, связанных с сообщениями (сообщениях, запускаемых этим правилом), установите флажок « Центр оповещений» . Вы также можете отправить уведомление суперадминистраторам, выбрав опцию «Все суперадминистраторы» . Введите другие уведомления для других получателей.

  11. Нажмите «Продолжить» .

  12. Для параметра «Область применения» выберите один из вариантов:

    • Чтобы применить правило ко всей организации, выберите «Все» в domain.name .
    • Чтобы применить правило к конкретным организационным подразделениям или группам, выберите «Организационные подразделения и/или группы» и включите или исключите эти организационные подразделения и группы.

  13. Для условий содержимого нажмите «Добавить условие» и выберите часть сообщения, которая будет сканироваться.

    Важно : если вы создадите правило DLP без условия, правило просканирует все части сообщения и применит указанное действие ко всем сообщениям Gmail.

    • Весь контент — Сканирует заголовок сообщения, тему, текст и вложения.
    • Тело сообщения — Сканирует текст сообщения и вложения.
    • Метка классификации — Сканирует метки классификации, примененные к сообщениям.
    • Статус конфиденциального режима — проверяет, включен ли конфиденциальный режим для сообщений.
    • Заголовки электронных писем — Сканирует заголовок и тему сообщения. Если сообщение отправлено с использованием клиентского шифрования Google Workspace (CSE), сканируется только содержимое заголовков электронного письма (включая тему).
    • Тема — Сканирует только тему сообщения.

  14. Нажмите «Что сканировать» и выберите параметры и атрибуты для сканирования. Подробную информацию о каждом поле см. в разделе «О параметрах и атрибутах сканирования» на этой странице.

  15. Нажмите «Продолжить» и ознакомьтесь с подробностями правила.

  16. Выберите статус для правила:

    • Действительна — Правило вступает в силу немедленно.
    • Неактивно — правило добавлено, но не выполняется немедленно. Это даёт вам время проверить правило и поделиться им с другими, прежде чем оно будет внедрено. Чтобы запустить правило позже, в консоли администратора перейдите в раздел «Безопасность». а потом Контроль доступа и данных а потом Защита данных а потом В разделе «Управление правилами» измените статус на «Активные». а потом Нажмите «Подтвердить» .

  17. Нажмите «Создать» .

Внесение изменений может занять до 24 часов, но обычно происходит быстрее. Узнайте больше.

О том, что следует искать среди опций и характеристик.

Параметры «Что сканировать» различаются в зависимости от типа контента, который вы выбрали для сканирования. Для условий правил Gmail вы можете сканировать следующее:

  • Соответствует предопределенному типу данных (рекомендуется)
  • Содержит текстовую строку
  • Содержит слово
  • Соответствует регулярному выражению
  • Сопоставляет слова из списка слов
  • Это классификационная метка.
  • Включено или выключено (только в режиме конфиденциальности)

В условиях можно использовать операторы И , ИЛИ или НЕ . Подробную информацию об использовании этих операторов с условиями см. в разделе «Примеры правил DLP с вложенными операторами условий» .

Что искать на экране Атрибуты
Соответствует предопределенному типу данных

Тип данных — Выберите предопределенный тип данных. Подробности см. в разделе «Как использовать предопределенные детекторы содержимого» .

Пороговое значение вероятности — Выберите пороговое значение вероятности. Доступные пороговые значения:

  • Очень низкий
  • Низкий
  • Середина
  • Высокий
  • Очень высокий

Эти пороговые значения отражают степень уверенности системы DLP в результате сопоставления. В целом, очень высокое пороговое значение будет соответствовать меньшему количеству контента и будет более точным. Ожидается, что очень низкое пороговое значение будет соответствовать большему количеству файлов, но с меньшей точностью.

Минимальное количество уникальных совпадений — Введите минимальное количество раз, которое результат совпадения должен уникально встречаться в документе, чтобы запустить действие.

Минимальное количество совпадений — Введите минимальное количество раз, которое должны появиться совпадающие результаты в документе, чтобы запустить действие.

Как работают минимальное количество совпадений и минимальное количество уникальных совпадений? Допустим, есть два списка номеров социального страхования; в первом списке 50 одинаковых номеров, а во втором — 50 уникальных номеров. Если значение минимального количества совпадений равно 10, результаты будут отображаться в обоих списках, поскольку в каждом из них не менее 10 совпадений. Но если значение минимального количества уникальных совпадений равно 10, а значение минимального количества совпадений равно 1, результаты будут отображаться только во втором списке, поскольку в нем 10 совпадений, и все они являются уникальными.

Содержит текстовую строку Введите содержимое для поиска — Введите подстроку, число или другие символы для поиска. Укажите, чувствительно ли содержимое к регистру. В случае подстроки правило может содержать слово «key», и если документ содержит слово «key», значит, найдено совпадение.
Содержит слово Введите текст для поиска — Введите слово, цифру или другие символы для поиска.
Соответствует регулярному выражению

Название регулярного выражения — пользовательский детектор регулярных выражений.

Минимальное количество обнаружений шаблона — Введите минимальное количество раз, которое шаблон, выраженный регулярным выражением, должен встречаться в документе, чтобы запустить действие.

Сопоставляет слова из списка слов

Название списка слов — Выберите собственный список слов.

Режим сопоставления — выберите либо «Сопоставить любое слово» , либо «Сопоставить минимальное количество уникальных слов» .

Минимальное общее количество обнаружений любого слова — Введите минимальное количество раз, которое слово должно быть обнаружено, чтобы запустить действие.

Минимальное количество обнаруженных уникальных слов — Введите минимальное количество уникальных слов, которые должны быть обнаружены для запуска действия (доступно только для параметра «Соответствие минимальному количеству уникальных слов »).

Исследуйте события, связанные с правилами DLP, с помощью инструмента расследования инцидентов безопасности.

Выполните поиск событий журнала правил.

В следующем примере выполняется поиск сообщений Gmail, которые активировали правило DLP. Вы можете использовать другие условия в поиске или не использовать никаких условий.

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Центр безопасности а потом Инструмент расследования .

    Для этого требуются права администратора центра безопасности .

  2. Источник данных Click а потом Правила регистрируют события .
  3. Конструктор условий клика а потом Добавить условие а потом Атрибут а потом Тип правила .
  4. Выберите DLP .
  5. Нажмите «Поиск» .
    В результатах поиска внизу страницы вы можете просмотреть список мероприятий с подробной информацией о каждом из них.

    Примечание : фрагменты конфиденциального контента не поддерживаются в Gmail DLP. В результате в столбце «Содержит конфиденциальный контент» отображается значение «Ложь», даже если сообщение содержит конфиденциальный контент, который активировал правило DLP.

  6. Прокрутите страницу до столбца «Идентификатор ресурса» и нажмите «Меню». для отображения событий журнала Gmail и идентификатора сообщения .
  7. Нажмите «Поиск» , чтобы открыть новую страницу поиска, где источником данных являются события журнала Gmail .
  8. Для просмотра дополнительных сведений щелкните идентификатор сообщения для любой строки в результатах поиска. В боковой панели отобразится дополнительная информация о вашем расследовании.
  9. Если появится запрос, укажите служебную необходимость просмотра содержимого Gmail, а затем нажмите «Подтвердить» .

Экспорт нарушений DLP с помощью BigQuery

Вы можете экспортировать нарушения DLP, зарегистрированные в журнале правил, в пользовательские таблицы для дальнейшего анализа. Подробности см. в разделе «Настройка экспорта журналов служб в BigQuery» .

Поделитесь своим мнением.

В консоли администратора на любой странице, посвященной защите данных, нажмите «Отправить отзыв» .