Контроль за персональной / конфиденциальной информацией

Конфиденциальность - это защита информации в системе таким образом, чтобы неуполномоченное лицо не могло получить к ней доступ. Этот тип защиты наиболее важен в военных и правительственных организациях, которым необходимо хранить планы и возможности в секрете от врагов.

Однако это также может быть полезно компаниям, которым необходимо защитить свои коммерческие секреты от конкурентов или предотвратить доступ посторонних лиц к конфиденциальной информации компании (например, юридической, личной или медицинской информации). В последние несколько лет вопросам конфиденциальности уделяется все больше внимания, поскольку важность конфиденциальности определяется защитой личной информации, хранящейся в автоматизированных системах как государственных учреждений, так и организаций частного сектора.

Конфиденциальность должна быть четко определена, и процедуры поддержания конфиденциальности должны быть тщательно внедрены. Важнейшим аспектом конфиденциальности является идентификация пользователя и аутентификация. Положительная идентификация каждого пользователя системы необходима для обеспечения эффективности политик, которые определяют, кому разрешен доступ к тем или иным элементам данных.

Угрозы конфиденциальности

Конфиденциальность может быть нарушена несколькими способами. Приведены некоторые из наиболее часто встречающихся угроз конфиденциальности информации:

• Хакеры
• Маскировщики
• Несанкционированная активность пользователя
• Незащищенные загруженные файлы
• Локальные вычислительные сети (ЛВС)
• Троянские кони

Виды конфиденциальности

В информационной безопасности существует несколько типов конфиденциальности:

1. Конфиденциальность данных: относится к защите данных, хранящихся в компьютерных системах и сетях, от несанкционированного доступа, использования, раскрытия или модификации. Это достигается с помощью различных методов, таких как шифрование и контроль доступа.
2. Сетевая конфиденциальность: относится к защите информации, передаваемой по компьютерным сетям, от несанкционированного доступа, перехвата или подделки. Это достигается с помощью шифрования и безопасных протоколов, таких как SSL / TLS.
3. Сквозная конфиденциальность: относится к защите информации, передаваемой между двумя конечными точками, например, между клиентом и сервером, от несанкционированного доступа или вмешательства. Это достигается с помощью шифрования и безопасных протоколов.
4. Конфиденциальность приложений: относится к защите конфиденциальной информации, обрабатываемой и хранящейся программными приложениями, от несанкционированного доступа, использования или модификации. Это достигается с помощью аутентификации пользователя, контроля доступа и шифрования данных, хранящихся в приложении.
5. Конфиденциальность дисков и файлов: относится к защите данных, хранящихся на физических устройствах хранения, таких как жесткие диски, от несанкционированного доступа или кражи. Это достигается с помощью шифрования, безопасных хранилищ и контроля доступа.

В целом, целью конфиденциальности в информационной безопасности является защита конфиденциальной информации от несанкционированного доступа, использования или модификации и обеспечение того, чтобы только уполномоченные лица имели доступ к конфиденциальной информации.

Использование конфиденциальности

В области информационной безопасности конфиденциальность используется для защиты конфиденциальных данных и информации от несанкционированного доступа и раскрытия. Некоторые распространенные способы использования включают:

1. Шифрование конфиденциальных данных помогает защитить их от несанкционированного доступа и разглашения.
2. Конфиденциальность можно поддерживать, контролируя, у кого есть доступ к конфиденциальной информации, и ограничивая доступ только теми, кому это необходимо.
3. Маскировка данных - это метод, используемый для сокрытия конфиденциальной информации, такой как номера кредитных карт или социального страхования, для предотвращения несанкционированного доступа.
4. Виртуальные частные сети (VPN) позволяют пользователям безопасно подключаться к сети через Интернет и защищать конфиденциальность передаваемых ими данных.
5. Протоколы безопасной передачи файлов (SFTP) используются для безопасной передачи конфиденциальных данных через Интернет, защищая их конфиденциальность при передаче.
6. Двухфакторная аутентификация помогает гарантировать, что только авторизованные пользователи имеют доступ к конфиденциальной информации, требуя второй формы аутентификации, такой как отпечаток пальца или одноразовый код.
7. Предотвращение потери данных (DLP) - это мера безопасности, используемая для предотвращения утечки или потери конфиденциальных данных. ИТ-отдел отслеживает и контролирует поток конфиденциальных данных, защищая их конфиденциальность.

Вопросы конфиденциальности

Поддерживать конфиденциальность в области информационной безопасности может быть непросто, и может возникнуть несколько проблем, в том числе:

• Угрозы со стороны инсайдеров. Сотрудники и подрядчики, имеющие доступ к конфиденциальной информации, могут представлять угрозу конфиденциальности, если они намеренно или случайно ее разглашают.
• Кибератаки.  хакеры и киберпреступники могут использовать уязвимости в системах и сетях для доступа к конфиденциальной информации и ее кражи.
• Социальная инженерия. Социальные инженеры используют такие тактики, как фишинг и предлоги, чтобы обманом заставить людей раскрыть конфиденциальную информацию, ставя под угрозу ее конфиденциальность.
• Человеческая ошибка. Конфиденциальная информация может быть случайно раскрыта из-за человеческой ошибки, такой как отправка электронного письма неправильному получателю или оставление конфиденциальной информации на виду.
• Технические сбои. Технические сбои, такие как сбои оборудования или утечки данных, могут привести к потере или раскрытию конфиденциальной информации.
• Неадекватные меры безопасности. Неадекватные меры безопасности, такие как слабые пароли или устаревшие алгоритмы шифрования, могут облегчить несанкционированным сторонам доступ к конфиденциальной информации.
• Соответствие законодательству и нормативным актам. На конфиденциальность могут повлиять правовые и нормативные требования, такие как законы о защите данных, которые могут потребовать раскрытия конфиденциальной информации при определенных обстоятельствах.

Основы защиты конфиденциальной информации

Из-за постоянных угроз, исходящих от спама по электронной почте и компьютерных вирусов, каждая организация должна быть обеспокоена информацией, поступающей в ее сеть. Однако не меньшую озабоченность должна вызывать информация, которая покидает вашу бизнес-сеть.

В последние годы участились случаи кражи данных, в результате чего компании осознали, что им необходимо решение для предотвращения утечек важной информации:

• Финансовые данные
• Запатентованная технология
• Данные, не предназначенные для публичного просмотра

Правила теперь требуют, чтобы финансовые учреждения разрабатывали политики, которые помогут защитить личную информацию потребителя. Одним из самых больших рисков потери конфиденциальных данных является уход бывшего сотрудника из вашей компании и выбор работы на конкурента. Неудачные переговоры, в ходе которых была раскрыта конфиденциальная информация, также представляют большой риск. 

Советы по защите конфиденциальной информации

В зависимости от чувствительности данных требуются различные уровни защиты. Главное, что нужно понять, это то, что не все данные одинаковы, и лучше всего сосредоточить свои усилия по защите данных на защите конфиденциальных данных, как определено выше.

Примеры конфиденциальной информации:

• Общедоступная информация: Информация, которая уже является достоянием общественности
• Обычная деловая информация: деловая информация, которой обычно делятся с кем-либо внутри вашей организации или за ее пределами

Эффективная информационная безопасность начинается с оценки того, какой информацией вы располагаете, и определения того, кто имеет к ней доступ. Понимание того, как конфиденциальные данные поступают в вашу организацию, проходят через нее и из нее, имеет важное значение для оценки потенциальных уязвимостей и рисков кибербезопасности.

Это означает инвентаризацию всех мест, где ваша организация использует конфиденциальные данные и где вы передаете конфиденциальные данные сторонним и сторонним поставщикам.

Это позволит вам понять, как информация проходит через вашу организацию, и даст вам полное представление о том, кто отправляет личную информацию в вашей организации, кто получает конфиденциальные данные, какая информация собирается, кто хранит собранную информацию и у кого есть доступ к информации.

Меры по защите

Существует несколько мер, которые вы можете предпринять для защиты документов с конфиденциальной информацией, даже если они не в формате PDF. Приведены лишь некоторые полезные советы:

• Конфиденциальные документы следует хранить в запертых картотечных шкафах и в помещениях, доступ к которым имеет только уполномоченный персонал.
• Сотрудники должны знать, что они не могут оставлять конфиденциальную информацию на мониторах своих компьютеров, когда они не находятся на своих рабочих местах.
• При необходимости вся конфиденциальная информация должна утилизироваться надлежащим образом. Например, конфиденциальный документ лучше всего измельчить, прежде чем выбрасывать.
• Сотрудники должны знать, что не следует обсуждать конфиденциальную информацию компании в общественных местах и следует избегать использования личных адресов электронной почты для отправки и получения конфиденциальной информации.
• Если в этом нет необходимости, ограничьте объем необходимой вам личной информации о сотрудниках. Например, если вам не нужна их банковская информация, не запрашивайте ее. Это будет означать меньше бумажной работы и меньше конфиденциальной информации, которую вы должны защищать.
• Все конфиденциальные документы, будь то в физическом или электронном формате, должны быть помечены как конфиденциальные. Это делается для предотвращения путаницы в отношении того, какая информация является конфиденциальной, а какая нет.
• Инвестируйте в брандмауэры и программное обеспечение для шифрования, чтобы сохранить вашу конфиденциальную информацию.

Заключение

Время, когда личные данные можно было спокойно собирать и передавать, прошло. Сегодня организации, которые хранят и используют финансовую, медицинскую и другую личную информацию, должны обращаться с этими данными с уважением к их конфиденциальности. Использование описанных здесь лучших практик поможет вашей организации создать базовую систему конфиденциальности для того, чтобы стать ответственным и этичным распорядителем персональных данных.