Управление конфиденциальностью данных
Обеспечение конфиденциальности данных имеет решающее значение для предприятий любого размера. Надлежащим образом защищая конфиденциальные данные, компании не только предотвращают штрафы, но и укрепляют доверие клиентов, сотрудников и других заинтересованных сторон. Конфиденциальность данных заключается в защите данных от непреднамеренного, незаконного или неавторизованного доступа, раскрытия или кражи.
Конфиденциальность имеет отношение к конфиденциальности информации, включая разрешения на просмотр, совместное использование и ее использование. Информация с низким уровнем конфиденциальности может считаться "общедоступной" или иным образом не представляющей угрозы, если она доступна за пределами ее целевой аудитории. Информация с высоким уровнем конфиденциальности считается секретной и должна сохраняться в тайне во избежание кражи личных данных, компрометации учетных записей и систем, юридического ущерба или ущерба репутации и других серьезных последствий.
Примеры данных, требующих высокой конфиденциальности, включают:
- Номера социального страхования, которые должны оставаться конфиденциальными для предотвращения кражи личных данных.
- пароли, которые должны оставаться конфиденциальными для защиты систем и учетных записей.
При управлении конфиденциальностью данных учитывайте следующее:
- Кому могут быть раскрыты данные
- Требуют ли законы, нормативные акты или контракты сохранения конфиденциальности данных
- Могут ли данные использоваться или разглашаться только при определенных условиях
- Являются ли данные конфиденциальными по своей природе и окажут ли они негативное влияние в случае раскрытия
- Будут ли данные ценными для тех, кому они не разрешены (например, хакерам)
Что такое конфиденциальные данные?
Конфиденциальные данные - это данные, которые должны храниться в секрете, поскольку их разглашение может нанести ущерб компании и ее заинтересованным сторонам.
Примеры конфиденциальных данных включают:
- Личные данные: национальные идентификационные номера, полные имена, номера телефонов, адреса, адреса электронной почты, номера кредитных карт и т.д.
- Коммерческая тайна: списки клиентов и поставщиков, исходные коды, процессы, изобретения и т.д.
- Другие бизнес-данные с ограниченным доступом: неопубликованная финансовая информация
Что такое утечка данных?
Утечка данных происходит, когда конфиденциальные данные попадают не в те руки. Следовательно, утечка данных - это неспособность сохранить конфиденциальность данных. Утечки данных чрезвычайно опасны для бизнеса, поскольку они могут привести к значительным финансовым потерям и репутационному ущербу.
Что такое конфиденциальность данных?
Конфиденциальность данных означает, что личные данные, коммерческая тайна и другие данные частного бизнеса защищены от несанкционированного доступа, раскрытия без разрешения и кражи.
Поскольку утечки данных становятся все более частыми и сложными, компаниям необходимо внедрять надежные меры предосторожности, гарантирующие, что данные, которые должны быть секретными, останутся секретными.
Принятие надлежащих мер для обеспечения конфиденциальности данных защищает организации от негативных последствий утечки данных и помогает им оставаться на высоте соблюдения нормативных требований.
Почему важна конфиденциальность данных?
Технологические достижения привели к взрывному росту объема данных. Возможность простого хранения, совместного использования и передачи данных значительно увеличила объем информационных ресурсов организаций. Объем данных, генерируемых и обрабатываемых организациями, экспоненциально увеличился за последнее десятилетие. Это, в сочетании с тем фактом, что их критически важные деловые или операционные данные постоянно находятся под угрозой со стороны злоумышленных инсайдеров и внешних хакеров, делает защиту их конфиденциальной информации для них еще более важной. Конфиденциальность данных гарантирует, что только авторизованные пользователи имеют доступ к конфиденциальным бизнес-данным.
Конфиденциальность данных в последнее время стала предметом спора среди крупных технологических компаний и активистов по защите прав потребителей. Это видно по различным скандалам, которые стали известны с Facebook и продажей данных пользователей без их явного согласия, а также с внедрением нового законодательства, которое защищает права на данные пользователя (например, GDPR в Европейском союзе). С учетом нового подхода к технологическим компаниям и к тому, как они используют пользовательские данные, сейчас как никогда важно обеспечить осведомленность пользователей о том, как используется их информация, у кого есть к ней доступ и как долго.
Как сохранить конфиденциальность данных?
Для поддержания конфиденциальности данных организации используют шифрование, контроль доступа и другие средства для предотвращения попадания конфиденциальной информации в чужие руки. Существуют две широкие категории методов обеспечения конфиденциальности данных:
- Сетевые подходы. К ним относятся брандмауэры, системы обнаружения вторжений и виртуальные частные сети (VPN). Сетевые решения предотвращают несанкционированный доступ к сети или системе на сетевом уровне.
- Подходы, основанные на приложениях. К ним относятся шифрование файлов на диске и при передаче, а также использование надежных паролей и средств контроля доступа для ограничения доступа к определенным файлам или базам данных. Решения на основе приложений предотвращают несанкционированный доступ к данным на прикладном уровне.
Хотя шифрование является ключевым инструментом для поддержания конфиденциальности данных, оно не обеспечивает комплексного решения для всех типов конфиденциальной информации. Даже при хранении зашифрованных данных — будь то на ноутбуке или в базе данных — злоумышленник потенциально может получить доступ, скомпрометировав сервер или рабочую станцию, на которой они размещены. А при использовании текстового трафика злоумышленник потенциально может перехватить его при передаче и расшифровать позже, особенно если у него есть доступ к неисправленному дефекту в используемом протоколе.
Какие методы используются для сохранения конфиденциальности данных?
Важно использовать методы конфиденциальности для защиты индивидуально идентифицируемой информации в микроданных. Возможно, вам также потребуется использовать их для защиты больших наборов данных и выходных данных.
Всякий раз, когда мы публикуем данные — для общественности, исследователей или любого другого пользователя данных, — мы должны убедиться, что их конфиденциальность надлежащим образом защищена.
Мы защищаем конфиденциальность, гарантируя, что сведения об отдельных людях, домашних хозяйствах, предприятиях или организациях не поддаются идентификации и не могут быть выведены. Детали не должны быть идентифицируемыми в исходных данных, опубликованной статистике или выходных данных, создаваемых пользователями.
Часто вы можете разглашать индивидуально идентифицируемые данные там, где это необходимо, при условии, что вы получили письменное разрешение от физического лица на это. Используйте статистические методы для защиты микроданных и больших наборов данных
Данные единичных записей и сводные данные, называемые микроданными, с особой вероятностью поддаются идентификации, поскольку это записи отдельных людей, домашних хозяйств, предприятий или организаций.
Статистические данные, которые будут опубликованы, должны быть организованы таким образом, чтобы исключить возможность идентификации каких-либо отдельных деталей. Используйте эти статистические методы для защиты конфиденциальности данных
Для защиты конфиденциальности микроданных — и, при необходимости, больших наборов данных - вы можете использовать один или несколько из этих статистических методов:
- Возмущение – добавление случайного шума к выходным данным.
- Агрегирование – объединение и/или упрощение выходных данных.
- Подавление – не предоставление отчета о некоторых выходных данных.
- Ограничение доступа к данным – установление условий и/или ограничений на доступ к данным.
- Синтезирование файлов синтетических единичных записей (SURFs) и файлов конфиденциальных единичных записей (CURFs) для общей публикации. Они используют комбинацию возмущений, агрегирования, подавления и моделирования до тех пор, пока данные не станут конфиденциальными, но при этом являются достаточно точным обобщением данных для удовлетворения потребностей пользователей данных.
Регулярно проверяйте свои методы обеспечения конфиденциальности
Регулярно пересматривайте свои бизнес-правила, методы и процессы обеспечения конфиденциальности - по крайней мере, каждые три-пять лет. Вам необходимо убедиться, что новая технология или общедоступность дополнительных данных не увеличили риск раскрытия. При необходимости внедрите новые меры по защите конфиденциальности.
Что делать, если произошла утечка данных
Даже при наличии защиты всегда существует риск разглашения идентифицируемых данных. Нарушение данных или разглашение информации происходит, когда разглашаются данные, идентифицирующие человека, домашнее хозяйство, бизнес или организацию.
Рекомендации по обеспечению конфиденциальности данных
Ряд принципов и законодательных требований подкрепляют политику конфиденциальности данных, стандарты и руководства. Для сохранения конфиденциальности данных важно понимать и применять принципы, правила и методы обеспечения конфиденциальности и принимать меры предосторожности для предотвращения непреднамеренного разглашения или несанкционированного доступа к данным, которые могут идентифицировать людей, домохозяйства или организации.
4 основополагающих принципа для протоколов конфиденциальности данных
- Согласованность
- Безопасность
- Простота
- Утилита
10 лучших практик для обеспечения конфиденциальности данных
- Закройте все файлы, содержащие электронные данные, когда компьютеры будут оставлены без присмотра.
- Используйте методы безопасности на основе ролей для назначения и обеспечения соблюдения уровней доступа к данным на основе принципа наименьших привилегий.
- Зашифруйте все конфиденциальные данные.
- Убедитесь, что любой, кто взаимодействует с конфиденциальными данными, имеет достаточную подготовку в том, как с ними обращаться.
- Поддерживайте списки контроля доступа и другие права доступа к файлам в актуальном состоянии.
- Ограничьте доступ только авторизованным пользователям с двухфакторной аутентификацией, конфиденциальными учетными данными для входа и / или биометрией для аутентификации пользователей.
- Замените идентификационные коды защищенной личной информации (PPII).
- Ограничьте доступ к спискам основных кодов или ключевым кодам.
- Храните все физические копии конфиденциальных данных в запертых шкафах или комнатах.
- Храните основные списки отдельно от данных и уничтожайте записи PII, как только они больше не понадобятся.
Три типа гарантий конфиденциальности данных
Административные гарантии конфиденциальности данных
- Четко разграничьте, кто имеет, а кто нет доступ к конфиденциальным данным
- Определите, какими способами авторизованные пользователи могут получать доступ к конфиденциальным данным
- Сведите к минимуму количество мест, где хранятся конфиденциальные данные, и количество раз, когда они передаются
Физические гарантии конфиденциальности данных
- Защитите физическое местоположение конфиденциальных данных от несанкционированного доступа персонала (например, запертые шкафы для хранения документов, уединенные комнаты для допросов, частные кабинеты)
- Защитите все компьютеры, которые обрабатывают конфиденциальные данные (например, используйте компьютеры с воздушным зазором, у которых нет проводных или беспроводных сетевых интерфейсов, подключенных к внешним сетям, отключите устройства хранения от сетей)
Технические гарантии конфиденциальности данных
- Внедряйте соответствующие меры безопасности, которые защищают конфиденциальные данные от несанкционированных лиц, потери, кражи или модификации
Особенности инструмента обеспечения конфиденциальности данных
- Приоритетность соответствующих стандартов конфиденциальности данных. Существует ряд законодательных актов и политик, зависящих от географического положения, типов обмениваемых данных и от того, между кем осуществляется обмен данными, которым должны следовать различные организации.
- Многофакторная аутентификация. Для этого пользователям требуется войти в систему несколькими способами, чтобы подтвердить, что они являются авторизованными пользователями данных.
- Анонимизация и дедупликация данных. Это не только поддерживает гигиену данных на должном уровне, но и добавляет дополнительный уровень безопасности, скрывая некоторые или все собранные данные.
- Управление доступом. Эта функция упрощает доступ разных пользователей к различным ресурсам.
- Поддержка базы данных. Вы захотите найти инструмент, совместимый с вашим текущим стеком данных и хранилищем.
Как предприятия могут обеспечить конфиденциальность данных?
Вот некоторые из эффективных способов обеспечения конфиденциальности данных в вашей организации.
Ограничить доступ к данным
Предприятия могут обеспечить конфиденциальность данных, контролируя, кто имеет доступ к закрытой информации, документам, файлам и т.д. Контроль доступа всегда должен основываться на принципе наименьших привилегий, что означает, что вы должны предоставлять доступ к данным только по мере необходимости. В конце концов, чем меньше людей имеют доступ к данным, тем ниже риск утечки данных.
Зашифруйте свои данные
Одним из лучших способов защиты конфиденциальности данных является шифрование. Проще говоря, шифрование - это процесс, который использует алгоритм для преобразования данных в нечитаемый формат. Расшифровать данные и прочитать их могут только уполномоченные лица. Для всех остальных зашифрованные данные понятны.
Виртуальная частная сеть является эффективным и удобным инструментом, использующим технологию шифрования, и в ней доступно множество опций. Просто используя бесплатный VPN, вы можете гарантировать, что ваши данные останутся неразборчивыми для третьих лиц. Это помогает вашему бизнесу сохранять конфиденциальность и даже позволяет сотрудникам удаленно получать доступ к сети вашей компании, не подвергая опасности конфиденциальные данные.
Внедрите политику конфиденциальности
Политика конфиденциальности включает инструкции о том, как сотрудники должны обращаться с конфиденциальными данными для обеспечения их защиты. Предоставляя сотрудникам четкий набор руководящих принципов, вы устраняете сомнения, минимизируете риск утечки данных из-за человеческой ошибки и обеспечиваете соблюдение нормативных требований.
Внедрите политику хранения данных
Чем больше у вас данных, тем сложнее их защитить. Для обеспечения конфиденциальности данных и соблюдения GDPR компаниям следует удалять все данные, которые утратили свою первоначальную цель обработки.
Политика хранения данных облегчает понимание сотрудниками:
- какие данные им необходимо хранить и как долго
- как безопасно утилизировать данные, когда в них больше нет необходимости
Разработать и внедрить программу кибербезопасности
В настоящее время разработка и внедрение программы кибербезопасности имеет важное значение для обеспечения конфиденциальности ваших цифровых данных.
Программа кибербезопасности предоставляет полный обзор электронных данных вашей компании и рисков, с которыми она сталкивается. Самое главное, это включает в себя все меры, которые вы должны предпринять для обеспечения конфиденциальности, доступности и целостности данных.
Примеры мер безопасности включают антивирусные программы, брандмауэры, системы обнаружения вторжений, многофакторную аутентификацию, обновления программного обеспечения и обучение по вопросам кибербезопасности.
Примите физические меры безопасности
Защиты ваших данных от киберугроз недостаточно. Вы также должны защищать их от физических угроз, таких как кража. Это можно сделать, используя систему охранной сигнализации в офисе, закрывая конфиденциальные документы и файлы на бумажном носителе и устанавливая камеры наблюдения.
Соглашения о неразглашении
Иногда компаниям необходимо делиться конфиденциальными данными со своими сотрудниками, инвесторами или другими заинтересованными сторонами. Например, сотрудникам часто требуется доступ к спискам клиентов для выполнения своей работы. Чтобы гарантировать, что люди, получающие доступ к данным, не будут их разглашать, компании следует попросить их подписать соглашение о неразглашении.
Оставьте заявку на сайте и менеджер вам перезвонит.
Мы можем назначить видеоконференцию или приехать лично для обсуждения деталей.