Безопасность данных и конфиденциальность
Безопасность и конфиденциальность данных – две важнейших темы в хранении информации. Невозможно работать, тщательно их не изучив. Если защита отсутствует в инфраструктуре хранения, значит Вы что-то делаете не так.
Для защиты информации необходима надежная инфраструктура хранения. Однако, требуется нечто большее, чтобы гарантировать сохранность данных на протяжении их жизненного цикла. Для этого компании требуется комплексная стратегия защиты информации, которая затрагивает все аспекты управления данными, включая способы хранения.
Защита данных и конфиденциальность
Для многих организаций самый важный ресурс - их данные, основная масса которых обязана быть защищена от неавторизованного доступа. В понятие данных входят интеллектуальная собственность, юридически значимые документы, пароли, ключи шифрования, персональные данные и другие конфиденциальные материалы.
Организации, обрабатывающие конфиденциальные данные, должны обладать комплексной стратегий защиты для борьбы с потенциальными угрозами. К сожалению, точное определние защиты данных не всегда понятно и может варьироваться в зависимости от использования и обстоятельств.
По мнению Ассоциации сетевых технологий хранения, защита данных — это гарантия того, что данные не искажены, доступны только для авторизованных целей и соответствуют требованиям. Другими словами, защита данных выходит за пределы шифрования или ограниченного доступа. Защита данных гарантирует, что они остаются жизнеспособными, непрерывно защищенными от неавторизованного доступа и контролируются в соответствии с законами и актами, например, локальными или федеральными.
С этой точки зрения, защита данных, безопасность хранилища — это только часть большой работы по защите конфиденциальной информации от посторонних лиц, при этом гарантируется их точность и доступность для авторизованных пользователей.
Стратегия комплексной защиты данных обеспечивает безопасность и конфиденциальность данных. И хотя эти два понятия близки, но все-таки означают разное. Безопасность данных защищает конфиденциальную информацию от несанкционированного доступа, потери и повреждения будь то случайно или преднамеренно. Конфиденциальность данных относится к должному управлению персональной информацией и правами физических лиц для контроля и доступа к их персональной информации.
С увеличением числа нормативных актов, регулирующих обращение с личными данными, организации должны пристальнее следить за защитой и управлением конфиденциальной информацией. Вот несколько нормативных актов, с которыми приходится сталкиваться организациям в процессе разработки стратегии защиты данных: Европейский регламент по защите данных, Акт о передаче и защите данных учреждений здравоохранения, Закон о защите конфиденциальности детей в Интернете и Закон штата Калифорния о защите конфиденциальности потребителей. Даже если компания осуществляет деятельность только в одном регионе, она может оставаться субъектом нескольких законов.
Несмотря на различия между нормативными актами, у них есть одна общая черта: внедрение строгих правил контроля безопасности, гарантирующих, что персональная информация не будет скомпрометирована, пока находится под управлением организации.
Картина угроз кибербезопасности
Данные являются не только активом. Это обязательство! Нарушение безопасности данных ведет к потери дохода, штрафам, простою, юридическим последствиям, потери интеллектуальной собственности, непредвиденных расходам, подорванной репутации. Ни одна организация не застрахована от возможных внутренних и внешних угроз.
Внешние угрозы исходят от правительств, организованной преступности, террористов, киберпреступников, конкурентов или обычных хакеров в поисках легкой наживы или просто спортивного интереса. Угрозы поступают в различных формах: через внедрение вредоносного ПО или ПО с требованием выкупа, кражу учетных данных пользователей.
Взломщики могут атаковать сети и системы напрямую, используя проблемные места для внедрения SQL-кода, сетевых атак или других вредоносных действия с целью кражи данных или остановки работы. Причины могут быть различны: желание подорвать уровень доверия к организации, получение выгоды от конкурентов, доступ к секретной государственной информации, продажа украденных данных для получения дохода.
Но опасность исходит не только от внешних игроков. Организациям необходима защита от внутренних угроз, будь то недобросовестные сотрудники, злоумышленники или беспечный персонал, ставший жертвой слабой политики безопасности. Данные, скомпрометированные в результате внутреннего поведения, могут быть столь же разрушительными, как и внешняя атака.
Многие компании обращаются к облаку для хранения данных и поддержке рабочих нагрузок. Хотя облачные платформы чаще обладают большей безопасностью, чем собственная среда организации, они также повышают сложность хранения и обработки данных, при этом увеличивая их уязвимость. В подобном случае организация полностью полагается на провайдера в вопросе защиты данных от внешних и внутренних угроз. В тоже время, облако повышает проблемы соответствия, особенно, если охватывает несколько регионов. Компаниям необходимо бороться с рисками, вызванными удаленной работой, число которой значительно выросло в период пандемии COVID-19. Чем больше людей работает за пределами офиса, тем сложнее гарантировать, что данные не раскрыты при их передаче или хранении. Удаленный работник может использовать несанкционированную облачную службу, потерять устройство, содержащее бизнес-информацию, работать над проектом через незащищенную платформу и т.д.
Внедрение стратегии защиты данных
Чтобы гарантировать безопасность и конфиденциальность данных, Вам необходим комплексный план, который определяет, как данные будут защищены в момент хранения и использования. Частью этого процесса является разработка политики, которая определяет, где будут храниться данные, кто может иметь доступ к ним и какие уровни защиты необходимы. Политика также должна отвечать на такие вопросы как: когда должно происходить удаление данных, что делать при увольнении работника, как справиться с нарушением безопасности данных и другие, связанные с защитой данных.
Другой важной частью процесса планирования является проведение тщательного анализа ваших текущих данных для определения потенциальных рисков и выработка шагов для их преодоления. Вам необходимо знать, где расположена конфиденциальная информация, как она используется, и у кого есть к ней доступ; важно определить такие проблемы, как передача данных как открытого текста, отправка учетных данных в незашифрованном формате или доступ пользователей к внутренним web-сервисам через небезопасный канал HTTP.
Из этого анализы вы получите представление о том, какие данные у Вас есть и где они расположены. Затем Вы можете классифицировать данные, опираясь на требования безопасности и соответствия. Это поможет определить, какой уровень доступа присвоить каждому типу данных. Публичные данные, например, требуют меньшей защиты, чем данные, подпадающие под действие Акта о передаче и защите данных учреждений здравоохранения, Европейский регламент по защите данных или национальных законов.
Если ваша организация является субъектом нескольких нормативных актов, Вы можете разработать решение по умолчанию. Например, в одном нормативном акте требуется защита IP адресов пользователей, тогда как в другом подобного требования нет. Было правильнее создать единую категорию для обоих. Слишком большое количество категорий может стать причиной повышенного риска нарушений нормативных требований. Более простая структура может упростить решение проблем, связанных с соответствием. В тоже время, необходимо брать во внимание такие моменты, как требования к хранению и удалению данных, которые могут привести к необходимости создания дополнительных категорий.
Другая часть процесса планирования - обеспечение инструментами, необходимыми для защиты системы и данных. Предположим, Вы хотите внедрить решение предотвращения утечек информации, чтобы в автоматическом режиме находить, отслеживать и защищать конфиденциальную информацию. Вы можете воспользоваться системой обнаружения вторжений, которая определяет аномалии трафика и предупреждает, если что-то не в порядке.
Основными инструментами являются защита от вредоносного кода, от программ-вымогателей, шпионских программ, а также межсетевые экраны и прокси-серверы. Конечно, есть множество других инструментов. Просто помните, что ни одно решение не может соответствовать всем вашим требования по защите данных, поэтому необходимо использовать несколько для решения вашим специфических задач.
Защита данных и конфиденциальность
Защита данных должна брать в расчет как физическую, так и операционную безопасность. Физическая безопасность гарантирует отсутствие доступа у неавторизованных пользователей к физическим структурам, где находятся данные или оборудование. Она также защищает от обстоятельств, которые могут стать причиной потери данных (например, природные катастрофы, сбои в подаче питания). Для внедрения физической безопасности используются протоколы резервного копирования и восстановления, мониторинг CCTV, биометрические считыватели, геозонирование, резервные генераторы, и т.д.
Защита необходима и отдельным системам: серверам, рабочим станциям, переносным устройствам (ноутбуки, планшеты, мобильные телефоны). Это означает внедрение стратегии управления мобильными устройствами, поддерживающая функции дистанционной блокировки, удаленной очистки.
В дополнение к обеспечению физической безопасности организации должны осуществлять оперативную защиту. Она начинается с использования продвинутых алгоритмов для шифрования конфиденциальных данных в момент хранения и использования. Для дальнейшей защиты ИТ команды могут рассмотреть возможность использования таких инструментов, как токенизация или маскировка данных, система для безопасного хранения и управления зашифрованными ключами.
Другой важный компонент операционной безопасности - управление доступом на основе ролей, определяющее, у кого есть возможность просматривать или изменять наборы данных. Доступ предоставляется на принципе наименьшей привилегии, т.е. у физических лиц должен быть только тот доступ, который необходим для работы - и не более того. В сочетании с контролем доступа, программисты должны также внедрять такие средства защиты как многофакторная аутентификация или частные виртуальные сети (VPN) для дальнейшей защиты данных.
Эффективная стратегия защиты данных также требует комплексной инфраструктуры для постоянного мониторинга конфиденциальных данных, предупреждений в реальном времени, генерации комплексных отчетов по требованию. Все доступы и изменения данных должны быть зарегистрированы системой аудита для определения пользователя, времени.
Операционные средства защиты также включают DR системы, гарантирующие доступность данных в случае их потери или повреждения. Резервные копии или репликации требуют повышенного внимания: они не должны нарушать применяемые нормативные правила, но обязаны гарантировать своевременный доступ к персональным данным, если этого требует закон и соблюдение правил хранения и распоряжения.
Для внедрения эффективных средств защиты данных компании необходимо учитывать весь жизненный цикл данных, независимо от того, как данные используются или где находятся - удаленная рабочая станция, мобильное устройство, дата-центр, облачная платформа или сервер в офисе. Один из наиболее важных инструментов, которые организации применяют для защиты данных - эффективная программа обучения, которая помогает работникам осознавать риски, связанные с обработкой данных. Каждый участник процесса должен четко понимать политику использования данных и способы защиты конфиденциальной информации.
Защита данных — это непрерывный процесс, затрагивающий не только внутренние системы хранения данных, но даже мобильные телефоны сотрудников. Безопасность хранилища - неотъемлемая часть этого процесса. Тем не менее, она не может защитить от всех рисков. Любое место хранения данных или доступа к ним должно рассматриваться как потенциально небезопасное, и работу необходимо строить соответствующим образом.