Trace Id is missing
Перейти к основному контенту
Microsoft Security

Что такое безопасность данных?

Безопасность данных основана на знании о том, какие у вас данные, где они размещены и какие риски с ними связаны. Подробнее о способах защиты данных.

Определение безопасности данных

Безопасность данных помогает защищать конфиденциальные данные на протяжении их жизненного цикла, понимать контекст данных и действий пользователя и предотвращать несанкционированное использование или потерю данных.

Защитой данных не стоит пренебрегать в наше время постоянного роста угроз кибербезопасности и внутренних рисков. Вы должны понимать, какими типами данных располагаете, и предотвращать их несанкционированное использование, а также выявлять и сокращать связанные с ними риски. Управление безопасностью данных помогает планировать и упорядочивать меры по защите данных, а также управлять ими с помощью правильно подобранных политик и процедур.

Виды защиты данных

Чтобы обеспечить эффективную защиту данных, необходимо учитывать степень конфиденциальности наборов данных и корпоративные требования к соответствию нормативно-правовым требованиям. Можно выделить следующие виды защиты данных, которые позволяют предотвращать нарушение их безопасности, обеспечивают соответствие нормативно-правовым требованиям и предохраняют репутацию компании:

  • Контроль доступа для управления доступом к данным в локальных системах и облаке.
  • Проверка подлинности пользователей с помощью паролей, карт доступа или биометрических данных.
  • Резервное копирование и восстановление данных, обеспечивающее доступ к ним после повреждения, сбоя системы или чрезвычайного происшествия.
  • Устойчивость данных в качестве упреждающего подхода к обеспечению аварийного восстановления и непрерывности бизнес-процессов.
  • Очистка данных для их надлежащего уничтожения, исключающего восстановление.
  • Программное обеспечение для маскирования данных, которое скрывает буквы и цифры от взгляда неавторизованных пользователей, заменяя их бессмысленными символами.
  • Решения для защиты от потери данных, позволяющие предотвратить несанкционированное использование конфиденциальных данных.
  • Шифрование, в результате которого файлы становятся нечитаемыми для неавторизованных пользователей.
  • Защита информации, помогающая классифицировать конфиденциальные данные, обнаруженные в файлах и документах.
  • Управление внутренними рисками, препятствующее пользователям, совершающим рискованные действия.

Типы данных, которые нужно взять под защиту

Любой, кто сталкивался с фактами компрометации кредитных карт или хищения удостоверений, начинает ценить эффективную защиту данных и понимает ее важность. Злоумышленники-хакеры постоянно изобретают новые способы хищения персональных данных в целях вымогательства, продажи и других неправомерных действий. Кроме того, причиной потери данных часто становятся текущие и бывшие сотрудники, что говорит о необходимости управления внутренними рисками в организации.

Каждая отрасль предъявляет собственные требования в отношении защищаемой информации и способов ее защиты, но, как правило, требования к обеспечению безопасности распространяются на следующие данные:

  • Персональные данные сотрудников и клиентов.
  • Финансовые данные, а именно, номера кредитных карт, банковская информация и корпоративная финансовая отчетность.
  • Медицинская информация: предоставленные услуги, диагнозы и результаты исследований и анализов и т. д.
  • Интеллектуальная собственность, в частности, коммерческие тайны и патенты.
  • Данные бизнес-операций, такие как сведения о цепочке поставок и производственные процессы.

Угрозы безопасности данных

На работе или дома мы используем Интернет для доступа к учетным записям, общения и взаимодействия, обмена информацией и ее использования. Многие типы кибератак и внутренних рисков подвергают опасности информацию, которой вы делитесь с другими.

  • Взлом

    Взлом — это попытка похитить данные с помощью компьютера, повредить сети или файлы, взять под контроль корпоративную цифровую среду или нарушить целостность данных и обычный ход процессов. Для взлома может использоваться фишинг, вредоносные программы, криптоанализ и распределенные атаки типа “отказ в обслуживании”.

  • Вредоносные программы

    Вредоносные программы — это общий термин, которым обозначают вирусы (в частности, черви) и программы-шпионы, которые предоставляют пользователям несанкционированный доступ к вашей среде. Проникнув в систему, такие пользователи могут при желании нарушить работу вашей сети и конечных устройств или похитить сохраненные в файлах учетные данные.

  • Программы-шантажисты

    Программы-шантажисты — это вредоносные программы, которые не дают вам пользоваться сетью и файлами, пока вы не заплатите выкуп. Программа-шантажист может попасть на ваш компьютер, когда вы открываете вложение электронной почты или щелкаете рекламное объявление. О ее появлении вы узнаете, когда не сможете получить доступ к файлам или увидите сообщение с требованием денег.

  • Фишинг

    Фишинг — это хитрый прием, позволяющий выманить у человека или организации такие сведения, как номера кредитных карт и пароли. Фишинг нацелен на кражу или повреждение конфиденциальных данных, при этом злоумышленники выдают себя за достойную доверия компанию, которую жертва хорошо знает.

  • Утечка данных

    Утечка данных — это случайная или намеренная передача данных, хранящихся в организации, внешнему получателю. Для этого используется электронная почта, интернет-подключение или такие устройства, как ноутбуки или переносные запоминающие устройства. Утечкой данных будут считаться и файлы или документы, вынесенные за пределы помещения или объекта. 

  • Неосторожность

    Неосторожность связана с сознательным нарушением правил безопасности без намерения нанести вред компании. Например, человек может отправить конфиденциальные данные сотруднику, у которого нет требуемого доступа, или воспользоваться небезопасным беспроводным соединением для работы с корпоративными ресурсами. Позволение войти в здание, не предъявляя пропуск или значок, тоже расценивается как неосторожность.

  • Мошенничество

    Мошенничеством занимаются злоумышленники, желающие воспользоваться преимуществами сетевой анонимности и доступа в режиме реального времени. Они могут осуществлять операции, используя скомпрометированные учетные записи и украденные номера кредитных карт. Организации могут стать жертвами мошеннических махинаций с гарантиями, возвратом денег или торговым посредничеством.

  • Кража

    Кража относится к внутренним угрозам и приводит к хищению данных, денег или интеллектуальной собственности. Целью кражи является личная выгода или нанесение ущерба компании. Например, надежный, казалось бы, поставщик может продавать номера социального страхования клиентов в даркнете или использовать инсайдерскую информацию о клиентах для открытия собственного бизнеса.

Технологии защиты данных

Технологии защиты данных являются ключевыми компонентами более всеобъемлющей стратегии обеспечения безопасности данных. Существуют различные решения для защиты от потери данных, которые помогут отслеживать внутренние и внешние действия, помечать подозрительное или рискованное поведение, связанное с публикацией данных, и управлять доступом к конфиденциальной информации. Реализуйте перечисленные ниже технологии защиты данных, чтобы предотвратить раскрытие конфиденциальной информации.

Шифрование данных. Применяйте шифрование (преобразование данных в код) к данным во время хранения или перемещения, чтобы пользователи, не имеющие соответствующих полномочий, не могли просмотреть содержимое файла, даже получив доступ к его местонахождению.

Проверка подлинности и авторизация пользователей. Проверяйте учетные данные пользователей и убеждайтесь, что права доступа предоставлены и применены надлежащим образом. Управление доступом на основе ролей позволяет предоставлять доступ только тем пользователям, которым он действительно нужен.

Обнаружение внутренних рисков. Выявляйте действия, которые могут указывать на присутствие внутренних рисков или угроз. Вы получите представление о контексте использования данных и будете знать, когда определенные факты скачивания данных, отправки сообщений за пределы организации или переименования файлов говорят о подозрительном поведении.

Политики защиты от потери данных. Создавайте и применяйте политики, которые определяют процедуру управления данными и предоставления общего доступа к ним. Указывайте, каким пользователям, приложениям и средам предоставлены права на различные действия, чтобы предотвратить утечку или кражу данных.

Резервное копирование данных. Делайте точные резервные копии данных организации, чтобы уполномоченные администраторы имели возможность восстановить их в случае отказа хранилища, нарушения безопасности данных или чрезвычайных ситуаций другого рода.

Оповещения в реальном времени. Настройте автоматические уведомления о возможном ненадлежащем использовании данных и получайте оповещения о потенциальных проблемах безопасности, не дожидаясь, когда будет нанесен урон вашим данным или репутации компании либо пострадает конфиденциальность ваших сотрудников или клиентов.

Оценка рисков. Вы должны понимать, что ваши сотрудники, поставщики, подрядчики и партнеры располагают сведениями о ваших данных и процедурах безопасности. Чтобы предотвратить факты ненадлежащего применения, вы должны знать, какими данными обладаете и как они используются в организации.

Аудит данных. Регулярный, плановый аудит данных поможет избежать большинства важных проблем, связанных с защитой данных, их точностью и доступностью. Вы будете знать, кто и как использует ваши данные.

Стратегии управления безопасностью данных

К стратегиям управления данными относятся политики, процедуры и средства управления, которые помогают лучше защитить и сберечь ваши данные.

  • Управляйте паролями согласно рекомендациям

    Внедрите удобное решение для управления паролями. Ваши сотрудники смогут избавиться от записок и электронных таблиц с паролями, и им не придется хранить в памяти множество уникальных комбинаций.
    Используйте парольные фразы, а не пароли. Парольные фразы легче запоминать, но труднее угадывать.
    Включите двухфакторную проверку подлинности (2FA). При использовании 2FA, даже если злоумышленник сумел заполучить парольную фразу или пароль, безопасность входа не будет нарушена, так как не зная дополнительного кода, который отправляется на другое устройство, неавторизованный пользователь не сможет получить доступ. 
    Меняйте пароли после взлома. Если пароли меняются чаще, сотрудники со временем начинают использовать более простые варианты, облегчая задачу злоумышленникам.
    Старайтесь не использовать повторно парольные фразы или пароли. После компрометации такие пароли и парольные фразы часто используют для взлома других учетных записей.

  • Разработайте план защиты

    Защитите конфиденциальные данные. Обнаруживайте и классифицируйте данные в масштабных средах, чтобы знать их объем, тип и расположение, куда бы они ни попадали в течение жизненного цикла.
    Управляйте внутренними рисками. Чтобы выявлять потенциально рискованные действия, которые могут вызвать инциденты с безопасностью данных, вы должны понимать схему действий пользователей и предполагаемое использование данных.
    Настройте надлежащие средства и политики доступа. Обеспечьте предотвращение таких действий как неправильное сохранение, хранение или вывод на печать конфиденциальных данных.

  • Используйте шифрование для защиты данных

    Шифрование данных не позволяет просматривать конфиденциальные данные пользователям, не имеющим соответствующих полномочий. Даже если такой пользователь получит доступ к среде данных или сможет перехватить данные при их передаче, это будет бесполезно, поскольку он не сможет их прочитать или понять.

  • Установите программное обеспечение и обновления системы безопасности

    Программное обеспечение и обновления безопасности позволяют устранить известные уязвимости, которые киберпреступники часто используют для хищения конфиденциальной информации. Регулярные обновления помогают избавиться от уязвимостей такого рода и предотвратить компрометацию систем.

  • Организуйте обучение по защите данных для сотрудников

    Не стоит думать, что лишь ИТ-отдел должен заботиться о защите корпоративных данных. Вы должны организовать для сотрудников обучение по вопросам раскрытия, кражи и повреждения данных. Рекомендации по защите данных можно применять к данным, хранящимся и на устройствах, и в бумажном виде. Учебные занятия должны проводиться регулярно, например раз в квартал, в полгода или в год.

  • Применяйте протоколы безопасности для удаленной работы

    Чтобы ваши удаленные сотрудники применяли протоколы безопасности, они должны четко понимать ваши политики и процедуры. Для этого, как правило, в обязательном порядке проводится обучение по безопасности, во время которого сотрудникам объясняют, какие программные приложения подходят для использования и как именно их следует использовать. Протоколы также должны регламентировать процесс, позволяющий обеспечить безопасность всех устройств, применяемых сотрудниками.

Нормативно-правовые требования и их соблюдение

Организации должны соблюдать соответствующие стандарты, законы и нормы, связанные с защитой данных. Они включают, в частности, сбор только необходимой информации о клиентах и сотрудниках, ее надежную защиту и надлежащее удаление. К таким законам относится Общий регламент по защите данных (GDPR), акт о передаче и защите данных учреждений здравоохранения HIPAA и Закон Калифорнии о конфиденциальности данных (CCPA).

GDPR — это законодательный акт с наиболее строгими требованиями к конфиденциальности и безопасности данных. Закон был разработан и принят в Евросоюзе (ЕС), но соблюдать его должны организации по всему миру, если они получают или собирают персональные данные граждан ЕС или лиц, постоянно проживающих на этой территории, либо предоставляют им товары и услуги.

HIPAA защищает медицинские сведения пациентов, запрещая раскрывать их без уведомления или согласия пациента. Постановление о конфиденциальности HIPAA охраняет личные медицинские данные и нацелено на соблюдение требований HIPAA. Правило безопасности HIPAA ограждает персональную медицинскую информацию, которую создает, получает, хранит или передает в электронном виде поставщик медицинских услуг.

CCPA гарантирует право потребителей из Калифорнии на конфиденциальность, в частности, право знать, какие персональные данные собираются, как они используются и предоставляются другим лицам, а также право на удаление собранных персональных данных и право отказаться от продажи своих персональных данных.

Ответственный за защиту данных — это руководящая должность. Лицо, ее занимающее, следит за соблюдением требований и гарантирует обработку персональных данных организации в соответствии с законами о защите данных. Например, он предоставляет отделам обеспечения соответствия требованиям сведения и рекомендации по соблюдению требований, проводит обучение сотрудников организации и отправляет отчет в случае нарушения правил и нормативов.

Если несоблюдение нормативов обернулось нарушением безопасности данных, организации это может ей обойтись в миллионы долларов. Последствиями такого инцидента могут быть кража удостоверений, потеря продуктивности и массовый уход клиентов.

Заключение

Безопасность данных и управление ею помогает выявлять и оценивать угрозы, связанные с данными, обеспечивать соблюдение нормативно-правовых требований и поддерживать целостность данных.

Возьмите за правило часто делать резервные копии данных, храните эти копии в другом месте, используйте стратегии управления безопасностью данных, а также надежные пароли или парольные фразы и 2FA.

Чтобы надежно защитить организацию, нужно реализовать следующие ключевые инструкции: принять меры, чтобы обезопасить данные в течение их жизненного цикла, понять, как используются данные; предотвратить их утечку и создать политики защиты от потери данных.

Узнайте, как использовать процедуры и средства обеспечения безопасности данных, чтобы защитить данные в облаках, приложениях и на конечных точках.

Подробнее о Microsoft Security

Microsoft Purview

Ознакомьтесь с решениями для управления корпоративными данными, их защиты и обеспечения соответствия требованиям.

Подробнее

Защита от потери данных

Выявляйте факты несанкционированного доступа к конфиденциальным данным или их использования на конечных точках, в приложениях и службах.

Подробнее

Управление внутренними рисками

Узнайте, как выявлять возможные рискованные действия со стороны сотрудников и поставщиков.

Подробнее

Защита информации

Обнаруживайте, классифицируйте и защищайте наиболее конфиденциальные данные в своем цифровом пространстве.

Подробнее

Вопросы и ответы

  • Безопасность данных помогает защищать конфиденциальные данные на протяжении их жизненного цикла, понимать контекст данных и действий пользователя и предотвращать несанкционированное использование данных. Она подразумевает знание о том, какие у вас данные, где они размещены и какие угрозы на них нацелены.

  • Защита данных бывает следующих видов:

    • Средства контроля доступа, которые для доступа к локальным и облачным данным требуют вводить учетные данные для входа.
    • Проверка подлинности пользователей с помощью паролей, карт доступа или биометрических данных.
    • Резервное копирование и восстановление данных, обеспечивающее доступ к ним после повреждения, сбоя системы или чрезвычайного происшествия.
    • Устойчивость данных в качестве упреждающего подхода к обеспечению аварийного восстановления и непрерывности бизнес-процессов.
    • Очистка данных для их надлежащего уничтожения, исключающего восстановление.
    • Программное обеспечение для маскирования данных, которое скрывает буквы и цифры от взгляда неавторизованных пользователей, заменяя их бессмысленными символами.
    • Решения для защиты от потери данных, позволяющие предотвратить несанкционированное использование конфиденциальных данных.
    • Шифрование, в результате которого файлы становятся нечитаемыми для неавторизованных пользователей.
    • Защита информации, помогающая классифицировать конфиденциальные данные, обнаруженные в файлах и документах.
    • Управление внутренними рисками, препятствующее пользователям, совершающим рискованные действия.

  • В качестве примера защиты данных можно назвать использование технологии, позволяющей узнать, где находятся конфиденциальные данные организации, как к ним предоставляется доступ и как они используются.

  • Безопасность данных важна тем, что помогает организации защититься от кибератак, внутренних угроз и человеческих ошибок, так как любой из этих факторов может спровоцировать нарушение безопасности данных.

  • Конфиденциальность, целостность, доступность и соответствие требованиям — вот четыре основных проблемы, связанные с безопасностью данных.

Следите за новостями о Microsoft 365