Защита конфиденциальной информации

Конфиденциальные данные — это информация, которую человек или организация хотят сохранить от публичного доступа, поскольку обнародование этой информации может привести к ущербу, например, к краже личных данных или мошенничеству. В некоторых случаях конфиденциальные данные относятся к отдельным лицам, например, платежная информация или дата рождения. В других случаях конфиденциальные данные могут быть закрытой корпоративной информацией.

Некоторые примеры непубличной личной информации (NPI), также называемой персонально идентифицируемой информацией (PII), включают такие данные человека, как:

  • Дата рождения
  • Адрес
  • Номер социального страхования
  • Информация о банковском счете
  • Информация о кредитной/дебетовой карте
  • Информация о здоровье
  • Расовые или этнические данные
  • Политические взгляды
  • Религиозные или философские убеждения
  • Членство в профсоюзе
  • Генетические или биометрические данные
  • Сексуальная или гендерная информация

Примеры непубличной корпоративной информации:

  • Коммерческая тайна
  • Финансы
  • Контракты

Какие нормативные и отраслевые стандарты требуют защиты конфиденциальных данных

Каждый год правительства принимают новые нормативные акты о том, как компании должны защищать данные. С момента вступления в силу Общего регламента по защите данных (GDPR) в мае 2018 года все больше стран и местных правительств стремятся защитить конфиденциальность данных. В 2018 году законодательное собрание штата Калифорния приняло Закон о защите частной жизни потребителей штата Калифорния от 2018 года (CCPA). В 2019 году 43 штата и Пуэрто-Рико представили или рассмотрели около 300 нормативных актов по безопасности данных или конфиденциальности. В том же году 31 штат принял новое законодательство, связанное с кибербезопасностью. Кроме того, за последние пять лет были обновлены многие отраслевые стандарты, включая стандарт Международной организации по стандартизации (ISO) 27701 в 2019 году.

Некоторые требования к соответствию, такие как Стандарт безопасности данных индустрии платежных карт (PCI DSS), подробно описывают конкретные меры контроля, которые должны использовать организации, в то время как другие применяют обобщения, допускающие индивидуальную настройку. Несмотря на количество и разнообразие этих законов, почти все они включают в себя схожий набор требований по защите конфиденциальных данных.

Как защитить конфиденциальные данные с помощью подхода к обеспечению соответствия требованиям безопасности

Соблюдение требований само по себе не является безопасностью. Соответствие требованиям — это следование установленным правилам, чтобы руководящему органу не пришлось налагать штрафы за нарушение закона или стандарта. Однако киберпреступники более продвинуты в своих стратегиях, чем это могут учитывать законы и стандарты. Подход к защите конфиденциальных данных, ориентированный на обеспечение безопасности, позволяет смягчить киберугрозы и одновременно служит основой для выполнения требований по соблюдению нормативных требований.

Что можно сделать для обеспечения безопасности данных? Ниже несколько пунктов, которые могут помочь вам.

Оцените риск

Оценка рисков является одним из наиболее важных аспектов защиты конфиденциальных данных, поскольку она требует от организации идентификации всех пользователей, устройств, сетей, приложений и информации. После завершения процесса идентификации необходимо распределить пользователей, устройства, сети, приложения и информацию по категориям в зависимости от того, насколько негативно утечка данных повлияет на организацию. Чувствительная информация относится к категории «высокого риска», в то время как маркетинговая информация может иметь «низкий» риск. Вам необходимо оценить все эти потенциальные векторы атак и решить, что делать с рисками.

Установите средства контроля

Для рисков, которые ваша организация решит принять или смягчить, необходимо установить соответствующие средства контроля для предотвращения несанкционированного доступа к конфиденциальным данным. Например, каждая организация, в которой работает более одного сотрудника, собирает PII в рамках своей кадровой деятельности. Компания не может отказаться от сбора, передачи или хранения этой информации. Поэтому необходимо внедрить средства контроля, которые не позволят злоумышленникам получить доступ или завладеть ею.

Проводите мониторинг эффективности контроля

Поскольку киберпреступники постоянно совершенствуют свои методы борьбы с угрозами, организации часто обнаруживают, что средства контроля, защищающие конфиденциальные данные сегодня, могут оказаться неэффективными завтра. Постоянный мониторинг ИТ-экосистемы организации является стандартным элементом контроля почти в каждом новом нормативном документе или отраслевом стандарте. Поскольку все больше информации хранится в облаке, злоумышленникам проще использовать общеизвестные уязвимости (CVE) для получения доступа к конфиденциальным данным.

Устранение рисков

Мониторинг является лишь частью стратегии. Чтобы действительно защитить информацию, организациям необходимо выявлять новые риски для своей ИТ-экосистемы и устранить все слабые места. Этот процесс может показаться простым, но исследования показывают, что средний операционный центр безопасности (SOC) предприятия, отдел, отвечающий за реагирование на новые предупреждения о кибербезопасности, может видеть до 10 000 предупреждений в день. Некоторые из этих предупреждений могут быть «ложными срабатываниями», а может и потенциальными рисками, которых на самом деле не существует. Чтобы устранить наиболее важные недостатки, организациям необходимо правильно расставить приоритеты рисков и в первую очередь устранить проблемы с наибольшим риском.

Документирование действий

Практически все нормативные требования запрашивают от организаций документирование своих действий по обеспечению безопасности. Организации должны документировать все процессы и действия, чтобы доказать эффективность своих программ безопасности и конфиденциальности. Независимая третья сторона, называемая аудитором, рассматривает документацию, а затем предоставляет отчет, содержащий любые выводы или проблемы, связанные с системой организации.

Классические тонкие клиентыКлассические тонкие клиенты

Унифицировать среду исполнения ПО терминального клиента и одновременно сделать ее защищенной, но гибкой и администрируемой, можно с использованием комплексов защищенного хранения и сетевой загрузки ОС терминальных станций. Универсальная часть образа

Стратегия допустимого использованияСтратегия допустимого использования

Целью стратегии приемлемого использования является установление стандартов безопасности использования компьютерного оборудования и услуг компании, а также соответствующих мер безопасности сотрудников для защиты корпоративных ресурсов и личной информации. Злоупотребление компьютерным оборудованием

Современные методы и инструменты анализа рисков и ущерба ИБСовременные методы и инструменты анализа рисков и ущерба ИБ

Ущерб безопасности информационной системы-это численное значение ущерба в денежном выражении, причиненного деятельности предприятия в результате реализации угроз безопасности с учетом возможных последствий нарушения конфиденциальности, целостности и доступности информации. В математическом