Безпека даних являє собою процес захисту файлів, баз даних, облікових записів за допомогою елементів управління, додатків та методів, що визначають важливість даних, їхню конфіденційність, а також відповідність нормативним вимогам.
Основними елементами безпеки даних є конфіденційність, цілісність та доступність. Модель, заснована на цих трьох складових, дозволяє забезпечити безпеку та захист даних від несанкціонованого доступу та крадіжки даних.
- Конфіденційність – доступ до даних лише для авторизованих осіб;
- Цілісність – надійність та точність інформації;
- Доступність – доступність даних для задоволення бізнес-потреб.
Основні моменти, на які необхідно звернути увагу для забезпечення безпеки даних:
- Місце знаходження даних. Щоб забезпечити достатній рівень захисту даних, необхідно знати, де вони зберігаються;
- Доступ до даних. Неконтрольований доступ та нечасті перевірки дозволів наражає компанію на ризик несанкціонованого використання даних та крадіжки;
- Безперервний моніторинг та оповіщення про зміни даних у режимі реального часу. Такий підхід дозволить відстежувати відповідність нормативним вимогам, а також вчасно виявити незвичайну активність, підозрілі облікові записи, зміни роботи комп’ютерів тощо.
Технології для запобігання витоку, зниження ризиків та забезпечення надійного захисту:
- Аудит даних дозволяє перевірити роботу всіх компонентів, вчасно виявити помилки та усунути їх;
- Оповіщення про дані в режимі реального часу дозволяють відслідковувати активність даних, швидше виявляти підозрілу поведінку, порушення безпеки, що призводять до випадкового руйнування даних, їх втрати, зміни, несанкціонованого розголошення та доступу до персональних даних;
- Оцінка загроз даним допомагає виявляти найбільш уразливі конфіденційні дані, надає детальне пояснення кожної вразливості, а також пропонує способи та рекомендації щодо усунення загроз безпеці;
- Мінімізація даних дозволяє збирати та зберігати лише цільові дані для бізнесу, які покривають його потреби. Велика кількість непотрібних даних не дасть конкурентної переваги, але може зашкодити репутації у разі їх витоку. Важливо аналізувати бізнес-потреби у даних та мінімізувати обсяги даних;
- Видалення застарілих даних. Якщо даних немає в мережі, вони не можуть бути скомпрометовані. Варто встановити системи, які можуть відстежувати доступ до файлів і автоматично архівувати файли, що не використовуються.
Забезпечення безпеки даних:
- Ізоляція файлу конфіденційних даних. Не слід розміщувати конфіденційний файл у папці з відкритим доступом. Програмне забезпечення безпеки даних дозволяє класифікувати конфіденційні дані та переміщувати їх у безпечне місце;
- Відстеження поведінки користувачів. Поширеною проблемою є надмірний доступ та дозвіл. Тобто більше, ніж необхідно для виконання своїх обов’язків відповідно до ролі у компанії. ПЗ, яке відстежує поведінку користувачів і автоматично встановлює відповідні дозволи, дозволяє зменшити користувальницькі збитки.
Правила безпеки даних
Існують певні правила безпеки даних, наприклад HIPAA (Health Insurance Portability and Accountability Act), SOX (Sarbanes-Oxley Act), GDPR (General Data Protection Regulation) тощо. Вони передбачають:
- відстеження, якими конфіденційними даними володіє компанія;
- надання цих даних за запитом;
- підтвердження застосування відповідних заходів для захисту даних.
- Health Insurance Portability and Accountability Act (HIPAA)
Закон про мобільність та підзвітність медичного страхування. Він був схвалений Конгресом США та прийнятий 21 серпня 1996 року для модернізації потоку медичної інформації та захисту особистої інформації, що зберігається в медичних установах та медичних страхових галузях, від шахрайства та крадіжок. Закон зобов’язує відповідні організації прийняти стандарти безпеки, які враховують технічні можливості систем запису для зберігання медичної інформації, витрати на забезпечення заходів безпеки та цінності комп’ютеризованих систем записів.
Основні вимоги:
- Безперервний моніторинг активності файлів та доступу до конфіденційної інформації;
- Контроль доступу;
- Ведення письмового запису.
- Sarbanes-Oxley (SOX)
Закон США передбачає запровадження жорсткіших вимог до фінансової звітності та процесу її підготовки. Відповідно до цього закону, публічні компанії повинні надавати щорічну оцінку ефективності внутрішнього фінансового аудиту.
Основні вимоги:
- Безперервний моніторинг та аудит, що вимагає від компаній включати до річних звітів оцінку внутрішнього контролю для забезпечення достовірності фінансової звітності та атестацію аудиту;
- Контроль доступу, особливо до критично важливих комп’ютерних систем, є найважливішим аспектом відповідності до закону. Необхідно знати, які адміністратори внесли зміни в налаштування безпеки та права доступу до файлових серверів та їх вмісту, а також деталізувати історію доступу та будь-яких змін даних користувачів;
- Звітність. Для надання доказів відповідності необхідно сформувати докладний звіт, де необхідно вказати використання даних, кожну взаємодію користувачів із файлом та конфіденційними даними, зміни дозволів, що впливають на права доступу до інформації.
- General Data Protection Regulation (GDPR)
Це регламент ЄС, який визначає порядок опрацювання персональних даних організаціями. Він охоплює захист персональних даних громадян ЄС, таких як страховий номер, дата народження, адреса електронної пошти, IP-адреса, номер телефону, номери рахунків тощо.
Основні вимоги:
- Класифікація даних: розуміння, де зберігаються дані, захист даних, виконання запитів на виправлення та видалення персональних даних;
- Безперервний моніторинг: повідомлення про порушення протягом 72 годин;
- Метадані: встановлення обмежень на зберігання даних (збирання та зберігання тільки цільових даних), визначення необхідності архівування даних;
- Управління даними: розуміння, хто має доступ, і хто повинен мати доступ до даних у корпоративній системі, обмеження прав доступу в залежності від ролі бізнес-користувачів.
