Защита конфиденциальной информации

Конфиденциальные данные — это информация, которую человек или организация хотят сохранить от публичного доступа, поскольку обнародование этой информации может привести к ущербу, например, к краже личных данных или мошенничеству. В некоторых случаях конфиденциальные данные относятся к отдельным лицам, например, платежная информация или дата рождения. В других случаях конфиденциальные данные могут быть закрытой корпоративной информацией.

Некоторые примеры непубличной личной информации (NPI), также называемой персонально идентифицируемой информацией (PII), включают такие данные человека, как:

  • Дата рождения
  • Адрес
  • Номер социального страхования
  • Информация о банковском счете
  • Информация о кредитной/дебетовой карте
  • Информация о здоровье
  • Расовые или этнические данные
  • Политические взгляды
  • Религиозные или философские убеждения
  • Членство в профсоюзе
  • Генетические или биометрические данные
  • Сексуальная или гендерная информация

Примеры непубличной корпоративной информации:

  • Коммерческая тайна
  • Финансы
  • Контракты

Какие нормативные и отраслевые стандарты требуют защиты конфиденциальных данных

Каждый год правительства принимают новые нормативные акты о том, как компании должны защищать данные. С момента вступления в силу Общего регламента по защите данных (GDPR) в мае 2018 года все больше стран и местных правительств стремятся защитить конфиденциальность данных. В 2018 году законодательное собрание штата Калифорния приняло Закон о защите частной жизни потребителей штата Калифорния от 2018 года (CCPA). В 2019 году 43 штата и Пуэрто-Рико представили или рассмотрели около 300 нормативных актов по безопасности данных или конфиденциальности. В том же году 31 штат принял новое законодательство, связанное с кибербезопасностью. Кроме того, за последние пять лет были обновлены многие отраслевые стандарты, включая стандарт Международной организации по стандартизации (ISO) 27701 в 2019 году.

Некоторые требования к соответствию, такие как Стандарт безопасности данных индустрии платежных карт (PCI DSS), подробно описывают конкретные меры контроля, которые должны использовать организации, в то время как другие применяют обобщения, допускающие индивидуальную настройку. Несмотря на количество и разнообразие этих законов, почти все они включают в себя схожий набор требований по защите конфиденциальных данных.

Как защитить конфиденциальные данные с помощью подхода к обеспечению соответствия требованиям безопасности

Соблюдение требований само по себе не является безопасностью. Соответствие требованиям — это следование установленным правилам, чтобы руководящему органу не пришлось налагать штрафы за нарушение закона или стандарта. Однако киберпреступники более продвинуты в своих стратегиях, чем это могут учитывать законы и стандарты. Подход к защите конфиденциальных данных, ориентированный на обеспечение безопасности, позволяет смягчить киберугрозы и одновременно служит основой для выполнения требований по соблюдению нормативных требований.

Что можно сделать для обеспечения безопасности данных? Ниже несколько пунктов, которые могут помочь вам.

Оцените риск

Оценка рисков является одним из наиболее важных аспектов защиты конфиденциальных данных, поскольку она требует от организации идентификации всех пользователей, устройств, сетей, приложений и информации. После завершения процесса идентификации необходимо распределить пользователей, устройства, сети, приложения и информацию по категориям в зависимости от того, насколько негативно утечка данных повлияет на организацию. Чувствительная информация относится к категории «высокого риска», в то время как маркетинговая информация может иметь «низкий» риск. Вам необходимо оценить все эти потенциальные векторы атак и решить, что делать с рисками.

Установите средства контроля

Для рисков, которые ваша организация решит принять или смягчить, необходимо установить соответствующие средства контроля для предотвращения несанкционированного доступа к конфиденциальным данным. Например, каждая организация, в которой работает более одного сотрудника, собирает PII в рамках своей кадровой деятельности. Компания не может отказаться от сбора, передачи или хранения этой информации. Поэтому необходимо внедрить средства контроля, которые не позволят злоумышленникам получить доступ или завладеть ею.

Проводите мониторинг эффективности контроля

Поскольку киберпреступники постоянно совершенствуют свои методы борьбы с угрозами, организации часто обнаруживают, что средства контроля, защищающие конфиденциальные данные сегодня, могут оказаться неэффективными завтра. Постоянный мониторинг ИТ-экосистемы организации является стандартным элементом контроля почти в каждом новом нормативном документе или отраслевом стандарте. Поскольку все больше информации хранится в облаке, злоумышленникам проще использовать общеизвестные уязвимости (CVE) для получения доступа к конфиденциальным данным.

Устранение рисков

Мониторинг является лишь частью стратегии. Чтобы действительно защитить информацию, организациям необходимо выявлять новые риски для своей ИТ-экосистемы и устранить все слабые места. Этот процесс может показаться простым, но исследования показывают, что средний операционный центр безопасности (SOC) предприятия, отдел, отвечающий за реагирование на новые предупреждения о кибербезопасности, может видеть до 10 000 предупреждений в день. Некоторые из этих предупреждений могут быть «ложными срабатываниями», а может и потенциальными рисками, которых на самом деле не существует. Чтобы устранить наиболее важные недостатки, организациям необходимо правильно расставить приоритеты рисков и в первую очередь устранить проблемы с наибольшим риском.

Документирование действий

Практически все нормативные требования запрашивают от организаций документирование своих действий по обеспечению безопасности. Организации должны документировать все процессы и действия, чтобы доказать эффективность своих программ безопасности и конфиденциальности. Независимая третья сторона, называемая аудитором, рассматривает документацию, а затем предоставляет отчет, содержащий любые выводы или проблемы, связанные с системой организации.

Управление инцидентами

Управление инцидентами: как оптимально реагировать на критические инцидентыУправление инцидентами: как оптимально реагировать на критические инциденты

Без этого это становится дорого: компаниям нужна система управления инцидентами, чтобы предотвратить высокие затраты, вызванные сбоями и сбоями в работе ИТ-службы. Если вы знаете лучшие практики и имеете готовый план

Развитие интернет-банкинга

Развитие интернет-банкингаРазвитие интернет-банкинга

Количественные факторы, включая конкурентные затраты, обслуживание клиентов и демографические условия, стимулируют банки к оцениванию используемых технологий и пересмотру своих стратегий в части электронной коммерции и интернет-банкинга. Многие исследователи ожидают быстрого

SEO-атаки

Как работают SEO-атакиКак работают SEO-атаки

Алгоритмы SEO ранжируют веб-страницы на основе различных факторов, таких как использование ключевых слов и обратных ссылок. Чтобы нацелиться на конкретные отрасли или пользователей, вредоносные сайты могут использовать ключевые слова, которые