Какой формат файла является одним из наиболее защищенных от несанкционированного просмотра
Обновлено: 21.11.2024
Целью настоящего руководства является создание основы для классификации институциональных данных на основе их уровня конфиденциальности, ценности и критичности для Университета в соответствии с требованиями Политики информационной безопасности Университета. Классификация данных поможет определить базовые меры безопасности для защиты данных.
Применимо к
Настоящая Политика применяется ко всем преподавателям, сотрудникам и сторонним агентам Университета, а также к любым другим аффилированным лицам Университета, которым разрешен доступ к Институциональным данным. В частности, это Руководство применяется к тем, кто отвечает за классификацию и защиту Институциональных данных, как это определено ролями и обязанностями в области информационной безопасности.
Определения
Конфиденциальные данные — это обобщенный термин, который обычно представляет данные, классифицируемые как ограниченные в соответствии со схемой классификации данных, определенной в данном Руководстве. Этот термин часто используется как синоним конфиденциальных данных.
Распорядитель данных — это сотрудник высшего уровня Университета, который контролирует жизненный цикл одного или нескольких наборов институциональных данных. Дополнительные сведения см. в разделе «Роли и обязанности в области информационной безопасности».
Подинституциональными данными понимаются все данные, принадлежащие или лицензированные университетом.
Закрытая информация — это любая информация, которая классифицируется как личная или информация с ограниченным доступом в соответствии со схемой классификации данных, определенной в настоящем Руководстве.
Конфиденциальные данные – это обобщенный термин, который обычно представляет данные, классифицируемые как ограниченные, в соответствии со схемой классификации данных, определенной в этом Руководстве. Этот термин часто используется как синоним конфиденциальных данных.
Классификация данных
Классификация данных в контексте информационной безопасности – это классификация данных на основе уровня их конфиденциальности и последствий для Университета в случае их раскрытия, изменения или уничтожения без разрешения. Классификация данных помогает определить, какие базовые меры безопасности подходят для защиты этих данных. Все институциональные данные должны быть отнесены к одному из трех уровней чувствительности или классификаций:
Классификация | Определение |
Ограничено | Данные должны быть классифицированы как Ограниченные, если несанкционированное раскрытие, изменение или уничтожение этих данных может создать значительный уровень риска для Университета или его аффилированных лиц. Примеры данных с ограниченным доступом включают данные, защищенные государственными или федеральными правилами конфиденциальности, а также данные, защищенные соглашениями о конфиденциальности. К данным с ограниченным доступом следует применять самый высокий уровень контроля безопасности. |
Личное | Данные должны классифицироваться как частные, если несанкционированное раскрытие, изменение или уничтожение этих данных может привести к умеренному уровню риска для Университета или его аффилированных лиц. По умолчанию все Институциональные данные, которые явно не классифицированы как Ограниченные или Общедоступные данные, должны рассматриваться как Частные данные. К частным данным следует применять разумный уровень безопасности. |
Общедоступные | Данные должны классифицироваться как общедоступные, если несанкционированное раскрытие, изменение или уничтожение этих данных приведет к незначительному риску или вообще не приведет к риску для Университета и его аффилированных лиц. Примеры общедоступных данных включают пресс-релизы, информацию о курсах и исследовательские публикации. Несмотря на то, что для защиты конфиденциальности общедоступных данных требуется минимальный контроль или его отсутствие, требуется некоторый уровень контроля для предотвращения несанкционированного изменения или уничтожения общедоступных данных. |
Классификация данных должна выполняться соответствующим распорядителем данных. Data Stewards — это сотрудники высшего звена Университета, которые контролируют жизненный цикл одного или нескольких наборов институциональных данных. Дополнительную информацию о роли распорядителя данных и связанных с ней обязанностях см. в разделе Роли и обязанности в области информационной безопасности.
Посетите рабочий процесс классификации данных, чтобы узнать, как классифицировать данные.
Сбор данных
Распорядители данных могут захотеть присвоить единую классификацию набору данных, которые являются общими по назначению или функциям. При классификации набора данных следует использовать наиболее ограничительную классификацию любого из отдельных элементов данных.Например, если сбор данных состоит из имени, адреса и номера социального страхования учащегося, сбор данных следует классифицировать как ограниченный, даже если имя и адрес учащегося могут считаться общедоступной информацией.
Реклассификация
Важно периодически пересматривать классификацию Учрежденческих данных, чтобы гарантировать, что присвоенная классификация по-прежнему уместна с учетом изменений юридических и договорных обязательств, а также изменений в использовании данных или их ценности для Университета. . Эта оценка должна проводиться соответствующим распорядителем данных. Рекомендуется проводить оценку на ежегодной основе; однако распорядитель данных должен определить, какая частота является наиболее подходящей, исходя из доступных ресурсов. Если распорядитель данных определяет, что классификация определенного набора данных изменилась, следует провести анализ мер безопасности, чтобы определить, соответствуют ли существующие меры безопасности новой классификации. Если в существующих мерах безопасности обнаружены пробелы, их следует своевременно исправить, соразмерно уровню риска, связанного с пробелами.
Вычисление классификации
Целью информационной безопасности, как указано в Политике информационной безопасности Университета, является защита конфиденциальности, целостности и доступности Институциональных данных. Классификация данных отражает уровень воздействия на Университет в случае нарушения конфиденциальности, целостности или доступности.
К сожалению, не существует идеальной количественной системы для расчета классификации того или иного элемента данных. В некоторых ситуациях соответствующая классификация может быть более очевидной, например, когда федеральные законы требуют от Университета защиты определенных типов данных (например, информации, позволяющей установить личность). Если соответствующая классификация не очевидна, рассмотрите каждую цель безопасности, используя следующую таблицу в качестве руководства. Это выдержка из публикации 199 Федеральных стандартов обработки информации (FIPS), опубликованной Национальным институтом стандартов и технологий, в которой обсуждается классификация информации и информационных систем.
Поскольку общее потенциальное влияние на университет увеличивается с низкого до высокого, классификация данных должна стать более строгой, переходя от общедоступных к ограниченным. Если соответствующая классификация по-прежнему остается неясной после рассмотрения этих пунктов, обратитесь за помощью в отдел информационной безопасности.
Приложение A. Предопределенные типы информации с ограниченным доступом
Управление информационной безопасности и Управление главного юрисконсульта определили несколько типов данных с ограниченным доступом на основе нормативных требований штата и федерального уровня. Этот список не включает все типы данных с ограниченным доступом. Предопределенные типы ограниченной информации определяются следующим образом:
- Пароли
- Общие секреты
- Криптографические закрытые ключи
- К электронным носителям информации относятся жесткие диски компьютеров и любые съемные и/или переносные носители цифровой памяти, такие как магнитная лента или диск, оптический диск или цифровая карта памяти.
- Средства передачи, используемые для обмена информацией уже на электронных носителях. Среда передачи включает, например, Интернет, экстранет (с использованием Интернет-технологий для связи бизнеса с информацией, доступной только для сотрудничающих сторон), выделенные линии, коммутируемые линии, частные сети и физическое перемещение съемных и/или переносных электронных медиа хранилище. Некоторые передачи, в том числе бумажные, по факсу и голосовые, по телефону, не считаются передачами через электронные носители, поскольку информация, которой обмениваются, не существовала в электронной форме до передачи.
Материалы, подлежащие экспортному контролю, — это любая информация или материалы, на которые распространяются правила экспортного контроля США, включая, помимо прочего, Правила экспортного контроля (EAR), опубликованные Министерством торговли США, и Правила международной торговли оружием. (ITAR), опубликованный Государственным департаментом США. Дополнительную информацию см. в разделе часто задаваемых вопросов об экспортном контроле Управления по вопросам честности исследований и соблюдения нормативных требований.
Информация о платежной карте определяется как номер кредитной карты (также называемый основным номером счета или PAN) в сочетании с одним или несколькими из следующих элементов данных:
- Имя владельца карты
- Служебный код
- Срок действия
- Значение CVC2, CVV2 или CID
- PIN-код или блокировка PIN-кодом
- Содержимое магнитной полосы кредитной карты
Информация о платежной карте также регулируется Политикой и рекомендациями PCI DSS Университета (требуется вход в систему).
- Имя учащегося
- Имя родителя(ей) учащегося или другого члена(ов) семьи
- Номер социального страхования
- Номер студента
- Список личных характеристик, по которым можно легко отследить личность учащегося.
- Любая другая информация или идентификатор, позволяющие легко отследить личность учащегося.
Дополнительную информацию о том, что представляет собой документ об образовании, см. в Политике Карнеги-Меллона в отношении прав учащихся на неприкосновенность частной жизни.
- Номер социального страхования
- Номер водительского удостоверения, выданного государством.
- Номер удостоверения личности, выданного государством.
- Номер финансового счета в сочетании с защитным кодом, кодом доступа или паролем, который позволит получить доступ к счету.
- Информация о медицинском обслуживании и/или страховании здоровья.
- Имя
- Адрес (все географические единицы меньше штата, включая почтовый адрес, город, округ, район или почтовый индекс)
- Все элементы дат (кроме года), относящиеся к физическому лицу, включая дату рождения, дату поступления, дату выписки, дату смерти и точный возраст, если старше 89 лет.
- Номера телефонов
- Номера факсов
- Адреса электронной почты
- Номера социального страхования
- Номера медицинских карт
- Номера получателей плана медицинского страхования
- Номера счетов
- Номера сертификатов/лицензий
- Идентификаторы транспортных средств и серийные номера, включая номерной знак.
- Идентификаторы и серийные номера устройств
- Универсальные указатели ресурсов (URL)
- Адреса интернет-протокола (IP)
- Биометрические идентификаторы, включая отпечатки пальцев и голоса.
- Фотоизображения в полный рост и любые сопоставимые изображения
- Любой другой уникальный идентификационный номер, характеристика или код, который может идентифицировать человека.
Согласно политике Carnegie Mellon HIPAA, PHI не включает записи об образовании или лечении, подпадающие под действие Закона о правах семьи на образование и неприкосновенность частной жизни, или записи о трудоустройстве, хранящиеся в Университете в качестве работодателя.
Общий регламент ЕС по защите данных (GDPR) определяет персональные данные как любую информацию, которая может прямо или косвенно идентифицировать физическое лицо посредством ссылки на идентификатор, включая
04 авг. Конфиденциальность, честность и доступность — триада ЦРУ
Триада CIA: конфиденциальность, целостность и доступность считается основой информационной безопасности. Каждую меру безопасности и каждую уязвимость можно рассматривать в свете одной или нескольких из этих ключевых концепций. Чтобы программа безопасности считалась всеобъемлющей и полной, она должна адекватно охватывать всю триаду ЦРУ.
Конфиденциальность означает, что данные, объекты и ресурсы защищены от несанкционированного просмотра и иного доступа. Целостность означает, что данные защищены от несанкционированных изменений, чтобы гарантировать их надежность и правильность. Доступность означает, что авторизованные пользователи имеют доступ к системам и необходимым им ресурсам.
Если вы готовитесь к CISSP, Security+, CySA+ или другому сертификационному экзамену по безопасности, вам необходимо понимать важность триады CIA, определения каждого из трех элементов и то, как меры безопасности решают элементы для защиты информационных систем.
Конфиденциальность
Меры конфиденциальности защищают информацию от несанкционированного доступа и неправомерного использования. Большинство информационных систем содержат информацию, которая имеет некоторую степень конфиденциальности. Это может быть конфиденциальная коммерческая информация, которую конкуренты могут использовать в своих интересах, или личная информация о сотрудниках, клиентах или клиентах организации.
Конфиденциальная информация часто имеет ценность, поэтому системы часто подвергаются атакам, поскольку преступники ищут уязвимости, чтобы использовать их. Векторы угроз включают в себя прямые атаки, такие как кража паролей и захват сетевого трафика, а также более многоуровневые атаки, такие как социальная инженерия и фишинг. Не все нарушения конфиденциальности являются преднамеренными. Несколько типов распространенных случайных утечек включают отправку конфиденциальной информации по электронной почте не тому получателю, публикацию личных данных на общедоступных веб-серверах и оставление конфиденциальной информации на мониторе компьютера без присмотра.
Здравоохранение является примером отрасли, в которой обязательства по защите информации о клиентах очень высоки. Мало того, что пациенты ожидают и требуют, чтобы поставщики медицинских услуг защищали их конфиденциальность, существуют строгие правила, регулирующие то, как организации здравоохранения обеспечивают безопасность. Закон о переносимости и подотчетности медицинского страхования (HIPAA) касается безопасности, включая защиту конфиденциальности, при обработке личной медицинской информации страховщиками, поставщиками и обработчиками претензий.Правила HIPAA предусматривают административные, физические и технические меры безопасности и требуют от организаций проведения анализа рисков.
Существует множество контрмер, которые организации принимают для обеспечения конфиденциальности. Пароли, списки контроля доступа и процедуры аутентификации используют программное обеспечение для управления доступом к ресурсам. Эти методы управления доступом дополняются использованием шифрования для защиты информации, к которой можно получить доступ, несмотря на средства контроля, такие как электронные письма, которые находятся в пути. Дополнительные контрмеры конфиденциальности включают административные решения, такие как политики и обучение, а также физический контроль, который предотвращает доступ людей к объектам и оборудованию.
Честность
Меры обеспечения целостности защищают информацию от несанкционированного изменения. Эти меры обеспечивают уверенность в точности и полноте данных. Необходимость защиты информации включает в себя как данные, которые хранятся в системах, так и данные, которые передаются между системами, такими как электронная почта. Для обеспечения целостности необходимо не только контролировать доступ на системном уровне, но и обеспечивать, чтобы пользователи системы могли изменять только ту информацию, на изменение которой у них есть законные полномочия.
Как и в случае с защитой конфиденциальности, защита целостности данных выходит за рамки преднамеренных нарушений. Эффективные контрмеры целостности также должны защищать от непреднамеренных изменений, таких как ошибки пользователя или потеря данных в результате сбоя системы.
В то время как всем владельцам систем требуется уверенность в целостности своих данных, финансовая отрасль особенно остро нуждается в обеспечении защиты транзакций в своих системах от несанкционированного доступа. Одно из самых громких нарушений целостности финансовых данных за последнее время произошло в феврале 2016 года, когда кибер-воры мошенническим образом сняли 1 миллиард долларов со счета центрального банка Бангладеш в Федеральном резервном банке Нью-Йорка. Хакеры выполнили сложную схему, которая включала получение необходимых учетных данных для инициирования снятия средств, а также заражение банковской системы вредоносным ПО, которое удаляло записи из базы данных о переводах, а затем подавляло подтверждающие сообщения, которые могли бы предупредить банковские органы о мошенничестве. После того, как схема была раскрыта, большинство переводов были либо заблокированы, либо средства возвращены, но воры все же смогли украсть более 60 миллионов долларов.
Существует множество контрмер, которые можно принять для защиты целостности. Контроль доступа и строгая аутентификация помогают предотвратить несанкционированное внесение изменений авторизованными пользователями. Проверка хэшей и цифровые подписи могут помочь гарантировать, что транзакции являются подлинными, а файлы не были изменены или повреждены. Не менее важны для защиты целостности данных административные меры, такие как разделение обязанностей и обучение.
Доступность
Чтобы информационная система была полезной, она должна быть доступна авторизованным пользователям. Меры доступности защищают своевременный и бесперебойный доступ к системе. Некоторые из наиболее серьезных угроз доступности носят незлонамеренный характер и включают сбои оборудования, незапланированные простои программного обеспечения и проблемы с пропускной способностью сети. Вредоносные атаки включают в себя различные формы саботажа, направленные на причинение вреда организации путем отказа пользователям в доступе к информационной системе.
Доступность и скорость отклика веб-сайта являются важным приоритетом для многих компаний. Нарушение доступности веб-сайта даже на короткое время может привести к потере доходов, неудовлетворенности клиентов и ущербу для репутации. Атака типа «отказ в обслуживании» (DoS) — это метод, часто используемый хакерами для нарушения работы веб-службы. При DoS-атаке хакеры забрасывают сервер лишними запросами, перегружая сервер и снижая качество обслуживания законных пользователей. За прошедшие годы поставщики услуг разработали сложные контрмеры для обнаружения и защиты от DoS-атак, но хакеры также продолжают совершенствоваться, и такие атаки по-прежнему вызывают озабоченность.
Контрмеры доступности для защиты доступности системы так же разнообразны, как и угрозы доступности. Системы, предъявляющие высокие требования к непрерывной работе, должны иметь значительное аппаратное резервирование с резервными серверами и хранилищами данных, доступными немедленно. Для больших корпоративных систем обычно резервные системы располагаются в разных физических местах. Должны быть предусмотрены программные инструменты для мониторинга производительности системы и сетевого трафика. К мерам противодействия DoS-атакам относятся брандмауэры и маршрутизаторы.
Понимание триады ЦРУ является важным компонентом вашей подготовки к различным программам сертификации по безопасности. Если вы хотите получить следующий сертификат безопасности, запишитесь в бесплатные учебные группы CertMike для сдачи экзамена CISSP, Security+, SSCP или CySA+.
ИЭУ
- Состояние образованияДайджест статистики образованияПрогнозы статистики образованияТематические исследования
- Национальная программа оценки образовательного прогресса (NAEP) для международной оценки компетенций взрослых (PIAAC)
- Программа международной деятельности (IAP)
- Продольное исследование раннего детства (ECLS)Национальное обследование образования домохозяйств (NHES)
- Common Core of Data (CCD)Secondary Longitudinal Studies ProgramEducation Demographic and Geographic Estimates (EDGE)National Teacher and Principal Survey (NTPS)подробнее.
- Программа библиотечной статистики
- Бакалавриат и выше (B&B)Статистика профессионального/технического образования (CTES)Интегрированная система данных о высшем образовании (IPEDS)Национальное исследование помощи учащимся послесреднего образования (NPSAS)подробнее.
- Общие стандарты данных в сфере образования (CEDS)Национальный форум по статистике образованияГосударственная программа грантов для систем продольных данных — (SLDS)подробнее.
- Программа статистических стандартов Национального кооператива послесреднего образования (NPEC) для дистанционного обучения.
- EDATDelta Cost ProjectIPEDS Data CenterКак подать заявку на лицензию с ограниченным использованием
- Таблицы ASC-EDЛаборатория данныхЭлементарная вторичная информационная системаInternational Data ExplorerIPEDS Data CenterNAEP Data Explorer
- Панель управления ACSCollege NavigatorЧастные школыГосударственные школьные округаГосударственные школыПоиск школ и колледжей
- Профили штатов NAEP (nationsreportcard.gov)Поиск коллег по финансам округа государственных школЦентр статистики финансов образованияЦентр данных IPEDS
- Инструмент вопросов NAEPИнструмент вопросов NAAL
- Панель управления ACS-EDКарты ACS-EDКарта колледжаПоиск по регионуMapEdSAFEMapSchool and District Navigator
- Инвентаризация библиографических данных
- ОценкиРаннее детствоНачальное и среднее образованиеБиблиотекаПослешкольное образование и дополнительные ресурсы
- Блог NCESЧто нового в NCESКонференции/обучениеНовостиFlashВозможности финансированияПресс-релизыStatChat
- Поиск по публикациям и продуктамГодовые отчетыЛицензии на данные с ограниченным использованием
Последние публикацииПо предметному указателю A-ZПо областям исследований и программДанные Продукты за последние 6 месяцев - О NCESCommissionerСвязаться с NCESStaffHelp
- Природные явления (например, удары молнии, старение и загрязнение среды)
- Преднамеренные действия по уничтожению (например, взлом и вирусы)
- Непреднамеренные деструктивные действия (например, случайная загрузка компьютерных вирусов, программные ошибки и неразумное использование магнитных материалов в офисе)
- Как открыть два проекта в After Effects
- Как прошить nintendo ds lite
- Как обновить драйверы для Intel HD Graphics 620
- Как сделать трафарет в фотошопе
- Программа управления коммутатором D link
Как указано в этом документе, одним из самых ценных активов организации является ее информация. Местные законы, законы штата и федеральные законы требуют, чтобы определенные типы информации (например, личные записи учащихся) были защищены от несанкционированного раскрытия (см. Приложение B для информационного бюллетеня FERPA). Этот аспект информационной безопасности часто называют защитой конфиденциальности. Хотя конфиденциальность иногда предписывается законом, здравый смысл и передовая практика подсказывают, что даже неконфиденциальная информация в системе должна быть защищена не только от несанкционированного раскрытия, но и от несанкционированного изменения и недопустимого влияния на ее доступность.
В. Разве нет программного обеспечения, которое может защитить мою информацию?
A. Да, различные программные продукты могут помочь вашей организации в ее усилиях по обеспечению безопасности информации и системы, но только тщательные, хорошо продуманные и целенаправленные усилия по разработке и внедрению всеобъемлющего плана обеспечения безопасности окажутся эффективными в долгосрочной перспективе.< /p>
В. Разве не имеет смысла просто зашифровать всю информацию?
A. Не обязательно. Шифрование и дешифрование занимают много времени. Если информация является конфиденциальной, то дополнительное время на шифрование и расшифровку имеет смысл. Но если файлы не являются конфиденциальными, зачем замедлять скорость обработки из-за ненужного шага? И хотя шифрование является хорошей практикой для конфиденциальной информации или информации, которая передается по незащищенным линиям, следует отметить, что само по себе оно не является полной стратегией безопасности. Шифрование информации защищает файлы от нарушения конфиденциальности, но риски несанкционированного или случайного изменения (включая уничтожение) и/или отказа в использовании остаются реальными.
Руководство по разработке политики безопасности можно найти в главе 3.
Возможно, больше, чем любой другой аспект системной безопасности, защита информации требует определенных процедурных и поведенческих действий. Информационная безопасность требует правильного создания, маркировки, хранения и резервного копирования файлов данных. Если принять во внимание количество файлов, которые использует каждый сотрудник, эти задачи явно представляют собой значительную задачу. Разработчики политики могут положительно повлиять на эти усилия, проведя точную оценку рисков (включая правильное определение конфиденциальной информации, хранящейся в системе).Они также должны оказывать организационную поддержку менеджеру по безопасности, поскольку он или она внедряет и контролирует правила безопасности. Менеджер по безопасности должен иметь полномочия и бюджет, необходимые для надлежащего обучения персонала и последующего обеспечения соблюдения процедур информационной безопасности на всех уровнях организационной иерархии.
Последний пункт, на который следует обратить внимание лицам, определяющим политику, — хранение и удаление информации. Вся информация имеет конечный жизненный цикл, и лица, определяющие политику, должны обеспечить наличие механизмов, обеспечивающих надлежащее удаление информации, которая больше не используется.
Как более подробно обсуждалось в главе 2, угроза — это любое действие. , действующее лицо или событие, которое увеличивает риск.
Информационные угрозы (примеры)
<УЛ>
Контрмера — это шаг, спланированный и предпринятый в противовес другому действию или потенциальному действию.
Следующие контрмеры направлены на решение проблем информационной безопасности, которые могут повлиять на ваши сайты. Эти стратегии рекомендуются, когда оценка рисков выявляет или подтверждает необходимость противодействия потенциальным нарушениям информационной безопасности вашей системы.
Контрмеры бывают разных размеров, форм и уровней сложности. В этом документе предпринята попытка описать ряд стратегий, потенциально применимых к жизни в образовательных организациях. Чтобы сохранить этот фокус, здесь не включены те контрмеры, которые маловероятно будут применяться в образовательных организациях. Например, если после оценки рисков ваша группа безопасности решит, что вашей организации требуются высококлассные контрмеры, такие как сканеры сетчатки глаза или анализаторы голоса, вам нужно будет обратиться к другим справочным материалам по безопасности и, возможно, нанять надежного технического консультанта.
-
То, что они должны знать: пароль или ключ шифрования; это наименее затратная мера, но и наименее безопасная.
-
Создавайте резервные копии не только информации, но и программ, которые вы используете для доступа к информации: Создавайте резервные копии утилит операционной системы, чтобы вы сохранили к ним доступ, даже если ваш жесткий диск выйдет из строя. Также храните текущие копии важного прикладного программного обеспечения и документации так же надежно, как если бы они были конфиденциальными данными. Предостережение. Некоторые поставщики проприетарного программного обеспечения могут ограничивать законное право организации на создание копий программ, но большинство из них допускают ответственные процедуры резервного копирования. Обратитесь к поставщику программного обеспечения.
-
Применяйте рекомендуемые принципы хранения, приведенные в этом документе, как к исходным, так и к резервным файлам: Резервные файлы требуют того же уровня безопасности, что и основные файлы (например, если исходный файл является конфиденциальным, то и его резервная копия).
Это действительно происходит!
У Марши, как у секретаря директора Брауна, не было времени на все трудности, с которыми она сталкивалась при работе с компьютером. На самом деле проблемы были не с компьютером, а с ее самыми важными файлами (и это было еще хуже). ). Устав от необходимости перепечатывать столько потерянных файлов, она наконец позвонила продавцу, который продал школе все оборудование. Продавец сразу же появился в ее офисе и попросил описать проблему.
"Ну, — объяснила Марша, — я храню копии всех своих важных файлов на 3 1/2-дюймовом диске, но когда я иду использовать их, кажется, что файлы исчезают. Я знаю, что я Я копирую их правильно, поэтому просто не могу понять. Я не знаю, программа для обработки текстов или что-то еще, но я устал терять все свои важные файлы."
Продавец спросил, возможно ли, что Marsha использует некачественный диск. «Я думала об этом, — ответила она, как бы готовясь к вопросу, — но это случилось с тремя разными дисками. Просто должно быть что-то другое». Маша потянулась за диском, который был прикреплен к металлическому шкафу рядом с ее столом цветным магнитом. "Ты попробуй."
«Это очень привлекательный магнит», — сказал продавец, когда Марша вручила диск. "Вы всегда используете его, чтобы поддерживать свои диски?"
"Да, это был сувенир с последней конференции доктора Брауна. Я просто думаю, что это красиво. Спасибо, что заметили."
Удалять информацию своевременно и тщательно:
Это действительно происходит!
Трент не мог поверить своим глазам. Перед ним на мониторе в компьютерном классе средней школы отображались оценки каждого ученика на второкурсниках г-на Руссо по английскому языку:
Все, что Трент сделал, это нажал кнопку "Восстановить" в текстовом редакторе, чтобы исправить допущенную им ошибку при сохранении, и внезапно оказался наготове жесткий диск, полный файлов мистера Руссо. К счастью для мистера Руссо, его второкурсников и школы, Трент понял, что что-то не так. Он спросил начальника лаборатории, мисс Джексон, откуда взялись компьютеры.
"Большинство из них были переработаны", — призналась она. "Учителя и администраторы получили в этом году обновления, поэтому их старые машины нашли хорошее применение в лабораториях. Они по-прежнему должны быть достаточно мощными, чтобы справляться с вашим текстовым процессором. Почему?"
Безопасность данных — это практика защиты цифровой информации от несанкционированного доступа, повреждения или кражи на протяжении всего ее жизненного цикла. Эта концепция охватывает все аспекты информационной безопасности, от физической безопасности оборудования и устройств хранения до административного контроля и контроля доступа, а также логической безопасности программных приложений. Он также включает организационные политики и процедуры.
При правильном применении надежные стратегии защиты данных защитят информационные активы организации от действий киберпреступников, а также от внутренних угроз и человеческих ошибок, которые сегодня остаются одной из основных причин утечек данных. Безопасность данных включает в себя развертывание инструментов и технологий, которые улучшают видимость организации в отношении того, где находятся ее критически важные данные и как они используются. В идеале эти инструменты должны быть способны применять такие средства защиты, как шифрование, маскирование данных и редактирование конфиденциальных файлов, а также автоматизировать отчетность для упрощения проверок и соблюдения нормативных требований.
Бизнес-задачи
Цифровая трансформация коренным образом меняет все аспекты работы и конкуренции современных компаний. Огромный объем данных, которые предприятия создают, обрабатывают и хранят, растет, что приводит к увеличению потребности в управлении данными. Кроме того, вычислительные среды стали более сложными, чем раньше, и обычно охватывают общедоступное облако, корпоративный центр обработки данных и многочисленные периферийные устройства, начиная от датчиков Интернета вещей (IoT) и заканчивая роботами и удаленными серверами. Эта сложность создает расширенную поверхность атаки, которую сложнее отслеживать и защищать.
В то же время растет осознание потребителями важности конфиденциальности данных. В связи с растущим общественным спросом на инициативы по защите данных недавно было принято несколько новых правил конфиденциальности, в том числе Европейский общий регламент по защите данных (GDPR) и Калифорнийский закон о защите прав потребителей (CCPA). Эти правила дополняют давние положения о безопасности данных, такие как Закон о переносимости и подотчетности медицинского страхования (HIPAA), защищающий электронные медицинские записи, и Закон Сарбейнса-Оксли (SOX), защищающий акционеров публичных компаний от бухгалтерских ошибок и финансового мошенничества. Поскольку максимальные штрафы исчисляются миллионами долларов, у каждого предприятия есть сильный финансовый стимул для обеспечения соблюдения требований.
Ценность данных для бизнеса никогда не была выше, чем сегодня. Потеря коммерческой тайны или интеллектуальной собственности (ИС) может повлиять на будущие инновации и прибыльность. Таким образом, надежность становится все более важной для потребителей: 75 % опрошенных сообщают, что не будут покупать товары у компаний, которым не доверяют в вопросах защиты своих данных.
Типы защиты данных
Шифрование
Используя алгоритм преобразования обычных текстовых символов в нечитаемый формат, ключи шифрования шифруют данные, чтобы их могли прочитать только авторизованные пользователи. Решения для шифрования файлов и баз данных служат последней линией защиты конфиденциальных томов, скрывая их содержимое с помощью шифрования или токенизации. Большинство решений также включают функции управления электронными ключами.
Стирание данных
Более безопасное, чем стандартное стирание данных, стирание данных использует программное обеспечение для полной перезаписи данных на любом устройстве хранения. Он проверяет, что данные невозможно восстановить.
Маскирование данных
Маскирование данных позволяет организациям создавать приложения или обучать людей с использованием реальных данных. При необходимости он маскирует личную информацию (PII), чтобы разработка могла происходить в средах, соответствующих требованиям.
Отказоустойчивость данных
Отказоустойчивость определяется тем, насколько хорошо организация выдерживает любые сбои или восстанавливается после них — от проблем с оборудованием до перебоев в подаче электроэнергии и других событий, влияющих на доступность данных (PDF, 256 КБ). Скорость восстановления имеет решающее значение для минимизации последствий.
Возможности и решения для обеспечения безопасности данных
Инструменты и технологии для обеспечения безопасности данных должны решать растущие проблемы, связанные с защитой современных сложных, распределенных, гибридных и/или мультиоблачных вычислительных сред. К ним относятся понимание того, где находятся данные, отслеживание того, кто имеет к ним доступ, и блокирование действий с высоким риском и потенциально опасных перемещений файлов. Комплексные решения для защиты данных, которые позволяют предприятиям применять централизованный подход к мониторингу и применению политик, могут упростить задачу.
Инструменты обнаружения и классификации данных.
Конфиденциальная информация может находиться в репозиториях структурированных и неструктурированных данных, включая базы данных, хранилища данных, платформы больших данных и облачные среды. Решения для обнаружения и классификации данных автоматизируют процесс выявления конфиденциальной информации, а также оценки и устранения уязвимостей.
Мониторинг данных и файловой активности.
Инструменты мониторинга файловой активности анализируют шаблоны использования данных, позволяя специалистам по безопасности видеть, кто получает доступ к данным, обнаруживать аномалии и выявлять риски. Динамическая блокировка и оповещение также могут быть реализованы для аномальных моделей активности.
Инструменты оценки уязвимостей и анализа рисков.
Эти решения упрощают процесс обнаружения и устранения уязвимостей, таких как устаревшее программное обеспечение, неправильные настройки или слабые пароли, а также могут выявлять источники данных с наибольшим риском раскрытия.
Автоматизированная отчетность о соответствии
Комплексные решения для защиты данных с возможностями автоматической отчетности могут стать централизованным хранилищем журналов аудита соответствия для всего предприятия.
Стратегии безопасности данных
Комплексная стратегия защиты данных включает людей, процессы и технологии. Создание надлежащих средств контроля и политик — это вопрос организационной культуры в такой же степени, как и развертывание правильного набора инструментов. Это означает, что информационная безопасность должна стать приоритетом во всех областях предприятия.
Физическая безопасность серверов и пользовательских устройств.
Независимо от того, хранятся ли ваши данные локально, в корпоративном центре обработки данных или в общедоступном облаке, вам необходимо убедиться, что объекты защищены от злоумышленников и имеют адекватную приняты меры пожаротушения и климат-контроль. Поставщик облачных услуг возьмет на себя ответственность за эти защитные меры от вашего имени.
Управление доступом и контроль
Принцип «доступа с минимальными правами доступа» должен соблюдаться во всей вашей ИТ-среде. Это означает предоставление доступа к базе данных, сети и административной учетной записи как можно меньшему количеству людей и только тем, кому это абсолютно необходимо для выполнения своей работы.
Подробнее об управлении доступом
Безопасность приложений и исправления
Все программное обеспечение должно быть обновлено до последней версии как можно скорее после выпуска исправлений или новых версий.
Резервные копии
Поддержание работоспособных, тщательно протестированных резервных копий всех важных данных является основным компонентом любой надежной стратегии защиты данных. Кроме того, на все резервные копии должны распространяться те же физические и логические средства контроля безопасности, которые регулируют доступ к первичным базам данных и основным системам.
Обучение сотрудников
Обучение сотрудников важности передовых методов обеспечения безопасности и гигиены паролей, а также обучение их распознаванию атак с использованием методов социальной инженерии превращает их в «человеческий брандмауэр», который может играть решающую роль в защите ваших данных. р>
Мониторинг и контроль безопасности сети и конечных точек
Внедрение комплексного набора инструментов и платформ для управления угрозами, обнаружения и реагирования на них в вашей локальной среде и облачных платформах может снизить риски и снизить вероятность взлома.< /p>
Тенденции безопасности данных
ИИ
ИИ расширяет возможности системы защиты данных, поскольку он может обрабатывать большие объемы данных. Когнитивные вычисления, подмножество ИИ, выполняют те же задачи, что и другие системы ИИ, но делают это путем имитации мыслительных процессов человека. В сфере безопасности данных это позволяет быстро принимать решения в случае крайней необходимости.
Безопасность мультиоблачной среды
По мере расширения возможностей облачной среды понятие безопасности данных расширяется. Теперь организациям нужны более сложные решения, поскольку им нужна защита не только данных, но и приложений и собственных бизнес-процессов, которые выполняются в общедоступных и частных облаках.
Quantum
Революционная технология, квантовая обещает экспоненциально изменить многие традиционные технологии. Алгоритмы шифрования станут многограннее, сложнее и безопаснее.
Как взаимодействуют безопасность данных и другие аспекты безопасности
Достижение безопасности данных корпоративного уровня.
Ключом к применению эффективной стратегии защиты данных является применение подхода, основанного на оценке рисков, для защиты данных в масштабах всего предприятия.В начале процесса разработки стратегии, принимая во внимание бизнес-цели и нормативные требования, заинтересованные стороны должны определить один или два источника данных, содержащих наиболее конфиденциальную информацию, и начать с них. После разработки четких и жестких политик для защиты этих ограниченных источников они могут затем распространить эти передовые методы на остальные цифровые активы предприятия в порядке приоритетности. Реализованные возможности автоматизированного мониторинга и защиты данных могут значительно упростить масштабирование передовых практик.
Безопасность данных и облако
Для защиты облачных инфраструктур требуется подход, отличный от традиционной модели размещения средств защиты по периметру сети. Для этого требуются комплексные средства обнаружения и классификации облачных данных, а также постоянный мониторинг активности и управление рисками. Инструменты облачного мониторинга могут располагаться между решением «база данных как услуга» (DBaaS) облачного провайдера и отслеживать передаваемые данные или перенаправлять трафик на вашу существующую платформу безопасности. Это позволяет единообразно применять политики независимо от того, где находятся данные.
Безопасность данных и BYOD
Использование персональных компьютеров, планшетов и мобильных устройств в корпоративных вычислительных средах растет, несмотря на вполне обоснованные опасения лидеров по безопасности относительно рисков, которые может представлять эта практика. Один из способов повысить безопасность использования собственных устройств (BYOD) — потребовать от сотрудников, использующих личные устройства, установить программное обеспечение безопасности для доступа к корпоративным сетям, тем самым улучшив централизованный контроль и прозрачность доступа к данным и их перемещения. Другая стратегия заключается в том, чтобы создать в масштабах всего предприятия мышление, ориентированное на безопасность, поощряя сотрудников использовать надежные пароли, многофакторную аутентификацию, регулярные обновления программного обеспечения и резервные копии устройств, а также шифрование данных, обучая их ценности этих действий. р>
Читайте также: