Trace Id is missing
Ugrás a tartalomtörzsre
Microsoft Biztonság

Mit értünk adatbiztonság alatt?

Az adatbiztonság magában foglalja az adatok típusainak és helyének ismeretét, valamint az adatokkal kapcsolatos kockázatok azonosítását. Megtudhatja, hogyan védheti meg adatait.

Az adatbiztonság fogalma

Az adatbiztonság segít megvédeni a bizalmas adatokat az életciklusuk során, megérteni a felhasználói tevékenységek és adatok kontextusát, valamint megakadályozni az adatok jogosulatlan felhasználását vagy elvesztését.

Az adatbiztonság fontosságát nem lehet alábecsülni az egyre gyakoribb kiberbiztonsági veszélyforrások és belső kockázatok korában. Azért fontos az adatbiztonság, hogy tisztában legyenek a szervezetek az adataik típusaival, megakadályozhassák a jogosulatlan felhasználásukat, valamint hogy azonosítani és mérsékelni tudják a velük kapcsolatos kockázatokat. Az adatbiztonság és az adatbiztonság-felügyelet körültekintően megírt házirendek és eljárások révén együttesen segíti a szervezeteket az adatbiztonsági tevékenységek megtervezésében, előkészítésében és ellenőrzésében.

Az adatbiztonság típusai

Csak úgy lehet hatékony az adatbiztonság, ha figyelembe veszi az adathalmazok bizalmasságát és az adott szervezetre vonatkozó jogszabályi megfelelőségi követelményeket. Az adatbiztonság alábbi típusai segítenek az adatszivárgás elleni védekezésben, a jogszabályi követelményeknek való megfelelésben és a jó hírnév megőrzésében:

  • hozzáférés-vezérléssel szabályozható a helyszíni és a felhőalapú adatokhoz történő hozzáférés;
  • felhasználók hitelesítése jelszavak, beléptetőkártyák vagy biometrikus adatok használatával;
  • biztonsági mentés és helyreállítás, hogy rendszerhiba, adatsérülés vagy vészhelyzet után hozzá lehessen férni az adatokhoz;
  • az adatok rugalmassága mint a vészhelyreállítás és az üzletmenet-folytonosság proaktív megközelítése;
  • az adatok megfelelő megsemmisítését és helyreállíthatatlanná tételét célzó adattörlés;
  • adatmaszkoló szoftver, amely helyettesítő karakterek használatával elrejti a betűket és a számokat a jogosulatlan felhasználók elől;
  • adatveszteség-megelőzési megoldások a bizalmas adatok jogosulatlan felhasználása elleni védelemhez;
  • fájlok titkosítása, hogy ne tudják olvasni őket a jogosulatlan felhasználók;
  • információvédelem a fájlokban és a dokumentumokban található bizalmas adatok osztályozásához;
  • belső kockázatkezelés a kockázatos felhasználói tevékenységek hatásának mérsékléséhez.

Védendő adattípusok

Ha valakinek emeltek már le pénzt illetéktelenek a hitelkártyájáról, vagy lopták már el a személyes adatait, jobban megbecsüli a hatékony adatvédelmet. A rosszhiszemű hekkerek újabb és újabb módszereket dolgoznak ki a személyes adatok ellopására, pénzre váltására és értékesítésére, vagy arra, hogy további csalásokat követhessenek el. A jelenlegi és a korábbi alkalmazottak emellett gyakran okoznak adatvesztést, ami miatt a belső kockázatkezelés elengedhetetlen a szervezeteknek.

Minden iparágnak saját követelményei vannak a védendő adatok körére és a védelem módjaira vonatkozóan. A védendő adatok általános típusai közé tartoznak például a következők:

  • az alkalmazottakra és az ügyfelekre vonatkozó személyes adatok;
  • pénzügyi adatok, köztük hitelkártyaszámok, banki adatok és vállalati pénzügyi kimutatások;
  • állapotinformációk, például diagnosztikák, teszteredmények és az igénybe vett szolgáltatások;
  • szellemi tulajdon, például kereskedelmi titkok és szabadalmak;
  • üzleti tevékenységekkel (köztük az ellátási láncokkal és a termelési folyamatokkal) kapcsolatos adatok és információk.

Az adatbiztonságot érintő veszélyforrások

Az internet a munkahelyen és otthon egyaránt hozzáférést biztosít fiókokhoz, kommunikációs módszerekhez, valamint az információk megosztásának és felhasználásának módjaihoz. A kibertámadások és a belső kockázatok számos típusa veszélyeztetheti a megosztott információkat.

  • Hekkelés

    Hekkelésnek nevezünk minden olyan számítógépes próbálkozást, amely adatlopásra, hálózatok vagy fájlok megrongálására, valamely szervezet digitális környezetének eltulajdonítására vagy adatainak és tevékenységeinek megzavarására irányul. A hekkelési módszerek közé tartoznak az adathalászati kísérletek, a kártevők, a kódfeltörések és az elosztott szolgáltatásmegtagadásos támadások.

  • Kártevők

    A kártevők olyan féregprogramok, vírusok és kémprogramok, amelyekkel jogosulatlan felhasználók férhetnek hozzá a szervezet környezetéhez. Miután bejutottak a környezetbe az ilyen felhasználók, meg tudják zavarni az informatikai hálózathoz csatlakozó és a végponti eszközök működését, vagy el tudják lopni a fájlokban esetleg még megtalálható hitelesítő adatokat.

  • Zsarolóvírusok

    A zsarolóvírusok olyan kártevők, amelyek mindaddig megakadályozzák a hálózathoz és a fájlokhoz történő hozzáférést, amíg a megzsarolt fél nem fizet váltságdíjat. A zsarolóvírusok többféleképpen is letöltődhetnek a számítógépre, például e-mail-melléklet megnyitásával és hirdetésre kattintással. Általában az utal a jelenlétükre, hogy nem lehet hozzáférni a fájlokhoz, vagy egy fizetést kérő üzenet jelenik meg.

  • Adathalászat

    Az adathalászat olyan cselekmény, amely során magánszemélyeket vagy szervezeteket vesznek rá információk (például hitelkártyaszámok és jelszavak) megadására. Mindez bizalmas adatok ellopása vagy megrongálása céljából történik úgy, hogy a támadó az áldozat által ismert megbízható vállalatnak adja ki magát.

  • Adatszivárgás

    Az adatszivárgás a szervezeten belüli adatok szándékos vagy véletlen átvitele egy külső címzetthez. E-mailben, az interneten keresztül és többféle eszközzel (például laptopokkal és hordozható tárolóeszközökkel) egyaránt előidézhető. A szervezet irodáiból vagy épületeiből kivitt fájlok és dokumentumok szintén adatszivárgásnak tekinthetők. 

  • Gondatlanság

    Gondatlanságról akkor beszélünk, ha egy alkalmazott szándékosan megszegi valamely biztonsági házirendet, de nem próbál kárt okozni a vállalatnak. Előfordulhat például, hogy az illető bizalmas adatokat oszt meg egy olyan munkatárssal, akinek nincs hozzáférése, vagy nem biztonságos, vezeték nélküli kapcsolaton keresztül jelentkezik be a vállalat eszközeire. Gondatlanság az is, ha valaki beléptetőkártya felmutatása nélkül enged be egy másik személyt az épületbe.

  • Csalás

    A csalást olyan tapasztalt felhasználók követik el, akik igyekeznek kihasználni az internet nyújtotta anonimitást és a valós idejű hozzáférhetőséget. Feltört fiókok és ellopott hitelkártyaszámok használatával képesek lehetnek arra, hogy tranzakciókat hozzanak létre. A szervezetek garanciacsalás, visszatérítési csalás vagy viszonteladói csalás áldozatává válhatnak.

  • Lopás

    A lopás olyan belső veszélyforrás, amely ellopott adatokat, pénzt vagy szellemi tulajdont eredményez. Személyes nyereség a célja, valamint az, hogy kárt okozzanak a szervezetnek. Lopás például az, ha egy megbízható szállító az ügyfelek társadalombiztosítási számait árulja a sötét weben, vagy velük kapcsolatos belső információkat használ fel saját vállalkozása elindításához.

Adatbiztonsági technológiák

Az adatbiztonsági technológiák a teljesebb adatbiztonsági stratégia kulcsfontosságú összetevői. Különböző adatveszteség-megelőzési megoldások állnak rendelkezésre a belső és a külső tevékenységek észleléséhez, a gyanús vagy kockázatos adatmegosztási viselkedés megjelöléséhez, valamint a bizalmas adatokhoz történő hozzáférés szabályozásához. Az ilyen adatbiztonsági technológiák implementálásával megakadályozhatja a bizalmas adatok kiszivárgását.

Adattitkosítás. Az inaktív vagy átvitel alatt lévő adatok titkosításával (kóddá alakításával) megakadályozható, hogy a jogosulatlan felhasználók megtekinthessék a fájlok tartalmát, még akkor is, ha hozzáférést szereznek a fájlok helyéhez.

Felhasználók hitelesítése és feljogosítása. Ellenőrizheti a felhasználók hitelesítő adatait, és meggyőződhet arról, hogy helyesen vannak kiosztva és alkalmazva a hozzáférési jogosultságok. A szerepköralapú hozzáférés-vezérlés lehetővé teszi, hogy a szervezet csak azoknak adjon hozzáférést, akiknek szüksége van rá.

Belső kockázatok észlelése. Azonosíthatja azokat a tevékenységeket, amelyek belső kockázatokat vagy veszélyforrásokat jelezhetnek. Megértheti az adatok felhasználásának kontextusát, és felismerheti, hogy mikor utalnak gyanús viselkedésre bizonyos letöltések, szervezeten kívüli e-mailek és átnevezett fájlok.

Adatveszteség-megelőzési házirendek. Az adatok kezelésének és megosztásának módját meghatározó házirendeket hozhat létre és léptethet érvénybe. Jogosult felhasználókat, alkalmazásokat és környezeteket adhat meg a különböző tevékenységekhez, így akadályozva meg az adatok kiszivárgását vagy ellopását.

Adatok biztonsági mentése. Biztonsági mentéssel pontos másolatot készíthet a szervezet adatairól, hogy a tárolók meghibásodása, adatszivárgás vagy bármilyen vészhelyzet esetén visszaállíthassák őket a jogosult adminisztrátorok.

Valós idejű értesítések. Automatizálhatja az adatokkal való esetleges visszaélésekre vonatkozó értesítéseket, ezenkívül értesítéseket kaphat a lehetséges biztonsági problémákról még az előtt, hogy kárt tennének az adatokban, rontanák a szervezet hírnevét vagy gyengítenék az alkalmazottak és az ügyfelek adatainak védelmét.

Kockázatbecslés. Értesülhet arról, hogy az alkalmazottak, a szállítók, az alvállalkozók és a partnerek információkkal rendelkeznek szervezete adatairól és biztonsági eljárásairól. Ha nem szeretné, hogy visszaéljenek szervezete adataival, tudnia kell, hogy milyen típusúak, illetve hogy miként használják fel őket a szervezetben.

Adatnaplózás. Rendszeres időközönként beütemezett adatnaplózásokkal ügyelhet a legfontosabb dolgokra, köztük az adatvédelemre, a pontosságra és a hozzáférhetőségre. Megtudhatja belőlük, hogy kik és hogyan használják a szervezet adatait.

Adatbiztonság-felügyeleti stratégiák

Az adatbiztonság-felügyeleti stratégiák közé tartoznak azok a házirendek, eljárások és adatgazdálkodási megoldások, amelyek segítik az adatok biztonságosabbá és védettebbé tételét.

  • Jelszókezelésre vonatkozó ajánlott eljárások implementálása

    Implementáljon egy könnyen használható jelszókezelési megoldást. Ha így tesz, szükségtelenné válik a cetlik és a számolótáblák használata, és az alkalmazottaknak nem kell egyedi jelszavakat megjegyezniük.
    Használjon többszavas jelszavakat az egyszavasak helyett. Az alkalmazottak valószínűleg könnyebben megjegyzik a többszavas jelszavakat, a kiberbűnözők pedig nehezebben tudják kitalálni őket.
    Kapcsolja be a kétfaktoros hitelesítést. Ha kétfaktoros hitelesítést használ, még abban az esetben is biztonságos marad a bejelentkezés, ha feltörték a többszavas vagy az egyszavas jelszót, mert a jogosulatlan felhasználó nem tud hozzáférést szerezni a második eszközre küldött további kód nélkül. 
    Biztonsági incidenst követően módosítsa a jelszavakat. Ha gyakrabban módosítja őket, akkor idővel vélhetően gyengébbek lesznek.
    Kerülje a többszavas vagy az egyszavas jelszavak újbóli felhasználását. A jelszavakat feltörésük után sok esetben más fiókokba történő belépésre használják.

  • Védelmi terv készítése

    Védje a bizalmas adatokat. Nagy méretekben derítheti fel és osztályozhatja az adatokat, hogy megismerje az információk mennyiségét, típusát és helyét, bárhol is legyenek az életciklusuk során.
    Kezelje a belső kockázatokat. A felhasználói tevékenységek és az adatok rendeltetésének megismerésével azonosíthatja azokat a potenciálisan kockázatos tevékenységeket, amelyek adatbiztonsági incidensekhez vezethetnek.
    Dolgozzon ki megfelelő hozzáférés-vezérlési megoldásokat és házirendeket. Megakadályozhatja többek között a bizalmas adatok helytelen mentését, tárolását vagy nyomtatását.

  • Titkosítás használata az adatok védelméhez

    Az adattitkosítás megakadályozza, hogy a jogosulatlan felhasználók elolvassák a bizalmas adatokat. Még ha hozzáférést is szereznek a szervezet adatkörnyezetéhez, vagy a továbbításuk közben látják az adatokat, azok használhatatlanok lesznek, mert nem lehet őket egyszerű módszerrel elolvasni vagy megérteni.

  • Szoftverfrissítések és biztonsági frissítések telepítése

    A szoftverfrissítések és a biztonsági frissítések olyan ismert biztonsági réseket hárítanak el, amelyeket gyakran használnak ki a kiberbűnözők bizalmas információk ellopására. A frissítések rendszeres telepítésével elháríthatók az ilyen biztonsági rések és megakadályozhatók a rendszerfeltörések.

  • Alkalmazottak adatbiztonsági képzése

    A szervezeti adatok védelmének elősegítése nem csak az IT-részleg feladata. Az alkalmazottakat is képezni kell, hogy tisztában legyenek az adatok nyilvánosságra hozatalának, ellopásának és sérülésének veszélyével. Az adatbiztonsági ajánlott eljárások az online és a kinyomtatott adatokra egyaránt vonatkoznak. A hivatalos képzésnek rendszeresen, például negyedévente, félévente vagy évente kell történnie.

  • Biztonsági protokollok implementálása távoli munkavégzéshez

    Ha a távmunkaerőre vonatkozó biztonsági protokollokat szeretne implementálni, első lépésként pontosan meg kell határoznia a házirendeket és az eljárásokat. Ez általában a kötelező jellegű biztonsági képzést és annak előírását foglalja magában, hogy mely szoftveralkalmazások használhatók, és hogyan. A protokolloknak emellett tartalmazniuk kell egy olyan folyamatot, amely az alkalmazottak által használt összes eszközt védi.

Rendeletek és megfelelőség

A szervezeteknek meg kell felelniük a vonatkozó adatvédelmi normáknak, jogszabályoknak és rendeleteknek. Közéjük tartozik például az, hogy kizárólag a szükséges információkat szabad gyűjteni az ügyfelektől vagy az alkalmazottaktól, szavatolni kell az információk folyamatos védelmét, és a megfelelő módon kell megsemmisíteni őket. Az Általános adatvédelmi rendelet (GDPR), az egészségügyi biztosítás hordozhatóságáról és felelősségre vonhatóságáról szóló határozat (HIPAA) és Kalifornia állam fogyasztókra vonatkozó adatvédelmi törvénye (CCPA) egyaránt adatvédelmi jogszabály.

A GDPR a legszigorúbb adatvédelmi és adatbiztonsági jogszabály. Noha az Európai Unió dolgozta ki és fogadta el, a szervezetek világszerte kötelesek megfelelni a benne foglaltaknak abban az esetben, ha az Európai Unió állampolgárainak vagy lakosainak személyes adatait célozzák meg vagy gyűjtik, illetve ha árukat és szolgáltatásokat kínálnak nekik.

A HIPAA-törvény abban nyújt segítséget, hogy a betegek egészségügyi adatai ne kerüljenek nyilvánosságra a beteg tudta vagy beleegyezése nélkül. A személyes egészségügyi adatok védelméről gondoskodó HIPAA adatvédelmi szabály a HIPAA-követelmények megvalósítása érdekében lett törvénybe iktatva. A HIPAA biztonsági szabálya segít megvédeni az egészségügyi szolgáltató által elektronikusan létrehozott, fogadott, karbantartott vagy továbbított, személyazonosításra alkalmas egészségügyi adatokat.

A CCPA-törvény segítséget nyújt a kaliforniai fogyasztók adatvédelmi jogainak biztosításához, beleértve a gyűjtött személyes adatok megismerésére, valamint a felhasználásuk és a megosztásuk módjára vonatkozó jogot, az érintettektől gyűjtött személyes adatok törlésének a jogát, illetve a személyes adataik értékesítésének elutasítására vonatkozó jogot.

Az adatvédelmi tisztviselő olyan vezető beosztású személy, aki nyomon követi a megfelelőséget, és segít biztosítani, hogy a szervezet az adatvédelmi jogszabályoknak megfelelően dolgozza fel a személyes adatokat. Több más mellett tájékoztatja és tanácsokkal látja el a megfelelőségi csapatokat arról, hogyan biztosítható a megfelelőség, képzéseket tart a szervezeten belül, továbbá jelentéseket készít a szabályok és a rendeletek be nem tartásáról.

Ha a megfelelőség elmulasztása adatszivárgáshoz vezet, az gyakran több millió dollárba kerül a szervezeteknek. A következmények közé sorolható az identitáslopás, a romló termelékenység és az ügyfelek elvándorlása.

Konklúzió

Az adatbiztonság és az adatbiztonság-felügyelet segít azonosítani és felmérni az adatokat fenyegető veszélyforrásokat, megfelelni a jogszabályi követelményeknek és fenntartani az adatok integritását.

A felelősen gondolkodó szervezetek gyakran készítenek biztonsági másolatot az adataikról, másodpéldányt tartanak a biztonsági másolataikból egy külső helyszínen, kidolgozzák az adatbiztonság-felügyeleti stratégiáikat, valamint megkövetelik az erős jelszavak vagy a többszavas jelszavak és a kétfaktoros hitelesítés használatát.

A szervezet erős védelmének kiépítéséhez négy alappillérre van szükség: biztosítani kell az adatok egész életciklusukon át tartó védelmét, meg kell ismerni az adatok felhasználásának módját, meg kell akadályozni az adatszivárgást és adatveszteség-megelőzési házirendeket kell létrehozni.

Megtudhatja, hogyan védheti szervezete adatait a felhőkben, az alkalmazásokban és a végpontokon adatbiztonsági eljárásokkal és eszközökkel.

További információ a Microsoft Biztonság csomagról

Microsoft Purview

Megismerheti a szervezete adataihoz használható adatgazdálkodási, adatvédelmi és megfelelőségi megoldásokat.

További információ

Adatveszteség-megelőzés

Azonosíthatja a bizalmas adatok végpontokon, alkalmazásokban és szolgáltatásokban történő, nem megfelelő megosztását vagy felhasználását jelző eseteket.

További információ

Belső kockázatok kezelése

Megtudhatja, hogyan azonosíthatja az alkalmazottak és a szállítók tevékenységeinek lehetséges kockázatait.

További információ

Információvédelem

Feltárhatja, osztályozhatja és megvédheti a legbizalmasabb adatokat szervezete digitális környezetében.

További információ

Gyakori kérdések

  • Az adatbiztonság segít megvédeni a bizalmas adatokat az életciklusuk során, megérteni a felhasználói tevékenységek és adatok kontextusát, valamint megakadályozni az adatok jogosulatlan felhasználását. Magában foglalja az adatok típusainak és helyének ismeretét, valamint az adatokat érintő veszélyforrások azonosítását.

  • Az adatbiztonság típusai a következők:

    • hozzáférés-vezérlők, amelyek megkövetelik a bejelentkezési hitelesítő adatok megadását helyszíni és felhőalapú adatok esetén egyaránt;
    • felhasználók hitelesítése jelszavak, beléptetőkártyák vagy biometrikus adatok használatával;
    • biztonsági mentés és helyreállítás, hogy rendszerhiba, adatsérülés vagy vészhelyzet után hozzá lehessen férni az adatokhoz;
    • az adatok rugalmassága mint a vészhelyreállítás és az üzletmenet-folytonosság proaktív megközelítése;
    • adattörlés az adatok megfelelő megsemmisítéséhez és helyreállíthatatlanná tételéhez;
    • adatmaszkoló szoftver, amely helyettesítő karakterek használatával elrejti a betűket és a számokat a jogosulatlan felhasználók elől;
    • adatveszteség-megelőzési megoldások a bizalmas adatok jogosulatlan felhasználása elleni védelemhez;
    • fájlok titkosítása, hogy ne tudják olvasni őket a jogosulatlan felhasználók;
    • információvédelem a fájlokban és a dokumentumokban található bizalmas adatok osztályozásához;
    • belső kockázatkezelés a kockázatos felhasználói tevékenységek hatásának mérsékléséhez.

  • Jó példa az adatbiztonságra az olyan technológiák használata, amelyekkel azonosítható a bizalmas adatok szervezeten belüli helye, illetve annak ismerete, hogy miként történik az ilyen adatok elérése és felhasználása.

  • Az adatbiztonság azért fontos, mert segít a szervezetnek védekezni a kibertámadások, a belső veszélyforrások és az emberi hibák ellen, amelyek mind-mind adatszivárgáshoz vezethetnek.

  • Az adatbiztonságot érintő négy fő kérdéskör a bizalmasság, az integritás, a rendelkezésre állás és a megfelelőség.

A Microsoft 365 követése