Trace Id is missing
Preskoči na glavno vsebino
Microsoftova varnost

Kaj je zaščita podatkov?

Naučite se zaščititi podatke, ne glede na to, kje so shranjeni, ter upravljati občutljive in pomembne poslovne podatke v svojem okolju.

Definicija zaščite podatkov

Zaščita podatkov se nanaša na varnostne strategije in postopke, s katerimi zaščitite občutljive podatke pred poškodbami, ogroženostjo in izgubo. Grožnje za občutljive podatke vključujejo kršitve varnosti podatkov in dogodke izgube podatkov.

Kršitev varnosti podatkov je posledica nepooblaščenega dostopa do informacij, omrežja ali naprav organizacije iz virov, kot so kibernetski napad, notranje grožnje ali človeška napaka. Poleg izgubljenih podatkov lahko organizacijo doletijo tudi globe zaradi kršitev skladnosti s predpisi, sodni postopki zaradi razkritih osebnih podatkov in dolgoročna škoda, povzročena ugledu blagovne znamke.

Dogodek izgube podatkov je namerna ali nenamerna prekinitev običajnih delovnih postopkov organizacije – na primer izguba ali kraja prenosnega računalnika, okvara programske opreme ali vdor računalniškega virusa v omrežje. Uvedba varnostnega pravilnika in usposabljanje zaposlenih za namene prepoznavanja groženj in odzivanja nanje (oziroma neodzivanja) sta ključnega pomena za strategijo zaščite podatkov.

Ključna načela zaščite podatkov

Dve ključni načeli zaščite podatkov sta razpoložljivost in upravljanje podatkov.

Razpoložljivost podatkov omogoča zaposlenim dostop do podatkov, ki jih potrebujejo za izvajanje vsakodnevnih opravil. Ohranjanje razpoložljivosti podatkov prispeva k načrtu neprekinjenega poslovanja in vnovične vzpostavitve po katastrofi organizacije, ki je pomemben element vašega načrta za zaščito podatkov, ki temelji na varnostnih kopijah, shranjenih na ločeni lokaciji. Z dostopom do teh kopij zmanjšate izpade za zaposlene, tako da lahko nemoteno opravljajo svoje delo.

Upravljanje podatkov vključuje upravljanje življenjskega cikla podatkov in informacij.

  • Upravljanje življenjskega cikla podatkov vključuje ustvarjanje, shranjevanje, uporabo in analizo ter arhiviranje ali odstranjevanje podatkov. S tem življenjskim ciklom zagotovite, da organizacija izpolnjuje ustrezne predpise in da ne shranjujete podatkov po nepotrebnem.
  • Upravljanje življenjskega cikla informacij je strategija za katalogizacijo in shranjevanje informacij, pridobljenih iz zbirk podatkov organizacije. Namen tega je določitev pomembnosti in točnosti informacij.

Zakaj je zaščita podatkov pomembna?

Zaščita podatkov je pomembna za varovanje organizacije pred krajo, uhajanjem in izgubo podatkov. Vključuje uporabo pravilnikov o zasebnosti, ki izpolnjujejo predpise glede skladnosti, in preprečevanje škode ugledu organizacije.

Strategija za zaščito podatkov vključuje spremljanje in zaščito podatkov v okolju ter stalen nadzor nad vidljivostjo podatkov in dostopom do njih.

Z uvedbo pravilnika o zaščiti podatkov lahko organizacija določi odpornost na tveganja za posamezne kategorije podatkov in ravna v skladu z veljavnimi predpisi. S tem pravilnikom lahko določite tudi preverjanje pristnosti in pooblastilo – opredelite, kdo lahko dostopa do določenih informacij in zakaj.

Vrste rešitev za zaščito podatkov

Z rešitvami za zaščito podatkov lahko spremljate notranje in zunanje dejavnosti, označite sumljivo ali tvegano vedenje skupne rabe podatkov z zastavico in nadzirate dostop do občutljivih podatkov.

  • Preprečitev izgube podatkov

    Preprečitev izgube podatkov je varnostna rešitev, s katero lahko organizacija lažje prepreči skupno rabo, prenos ali uporabo občutljivih podatkov z ukrepi, kot je spremljanje občutljivih informacij v podatkovnem okolju. Omogoča tudi zagotavljanje skladnosti z zakonskimi zahtevami, na primer z zakonom Health Insurance Portability and Accountability Act (HIPAA) in Splošno uredbo o varstvu podatkov (GDPR) Evropske unije (EU).

  • Podvajanje

    Podvajanje neprekinjeno kopira podatke z enega mesta na drugo za namene ustvarjanja ter shranjevanja posodobljene kopije podatkov. Omogoča preklop na te podatke ob izpadu primarnega sistema. Podvajanje poleg zaščite pred izgubo podatkov omogoča tudi, da so podatki na voljo v najbližjem strežniku, tako da lahko pooblaščeni uporabniki hitreje dostopajo do njih. S popolno kopijo podatkov organizacije lahko ekipe izvajajo analize, ne da bi posegale v vsakodnevne podatkovne potrebe.

  • Shramba z vgrajeno zaščito

    Rešitev shrambe mora zagotavljati zaščito podatkov in hkrati omogočati obnovitev izbrisanih ali spremenjenih podatkov. Več ravni redundance na primer zagotavlja lažjo zaščito podatkov pred izpadi storitev, težavami s strojno opremo in naravnimi katastrofami. S shranjevanjem različic ohranite prejšnja stanja podatkov, ko postopek prepisovanja ustvari novo različico. Konfigurirajte zaklepanje (na primer »samo za branje« ali »ni mogoče izbrisati«) računov za shrambo, da jih zaščitite pred naključnim ali zlonamernim brisanjem.

  • Požarni zidovi

    S požarnim zidom zagotovite, da lahko do podatkov organizacije dostopajo le pooblaščeni uporabniki. Požarni zid deluje tako, da spremlja in filtrira omrežni promet v skladu z varnostnimi pravili ter blokira grožnje, kot so virusi in izsiljevalska programska oprema. Nastavitve požarnega zidu običajno vključujejo možnosti za ustvarjanje vhodnih in izhodnih pravil, določanje varnostnih pravil za povezave, pregledovanje dnevnikov spremljanja in prejemanje obvestil, ko požarni zid blokira določen element.

  • Odkrivanje podatkov

    Odkrivanje podatkov je postopek iskanja naborov podatkov, ki so na voljo v organizaciji v podatkovnih središčih, prenosnih in namiznih računalnikih, različnih prenosnih napravah in v platformah v oblaku. Naslednji korak je kategorizacija podatkov (na primer označevanje podatkov kot omejenih, zasebnih ali javnih) in preverjanje njihove skladnosti s predpisi.

  • Preverjanje pristnosti in pooblastilo

    Kontrolniki za preverjanje pristnosti in pooblastilo preverjajo poverilnice uporabnikov ter potrjujejo, da so pravice za dostop ustrezno dodeljene in uporabljene. Nadzor dostopa na osnovi vlog je en primer zagotavljanja dostopa samo osebam, ki ga potrebujejo za izvajanje svojih opravil. Uporabljate ga lahko skupaj z upravljanjem identitet in dostopa, da nadzirate elemente, do katerih lahko dostopajo oziroma ne morajo dostopati zaposleni, s čimer zagotovite večjo varnost virov organizacije, kot so aplikacije, datoteke in podatki.

  • Varnostno kopiranje

    Varnostno kopiranje sodi v kategorijo upravljanja podatkov. Varnostno kopiranje lahko izvajate tako pogosto, kot želite (na primer popolne varnostne kopije vsako noč in prirastne varnostne kopije tekom dneva). Zagotavlja hitro obnovitev izgubljenih ali poškodovanih podatkov za namene skrajšanja časa izpada. Običajna strategija varnostnega kopiranja vključuje shranjevanje več kopij podatkov in hranjenje popolne arhivske kopije izvirnika v ločenem strežniku ter druge kopije na lokaciji zunaj delovnega mesta. Strategija varnostnega kopiranja je usklajena z načrtom za vnovično vzpostavitev po katastrofi.

  • Šifriranje

    S šifriranjem zagotovite varnost, zaupnost in celovitost podatkov. Uporabljate ga pri neaktivnih in aktivnih podatkih, da preprečite ogled vsebine datoteke nepooblaščenim uporabnikom, tudi če pridobijo dostop do njene lokacije. Navadno besedilo je preoblikovano v neberljivo šifrirano besedilo (podatki so pretvorjeni v kodo), ki za branje ali obdelavo zahteva ključ za dešifriranje.

  • Vnovična vzpostavitev po katastrofi

    Vnovična vzpostavitev po katastrofi je element varnosti informacij (InfoSec), ki je osredotočen na to, kako organizacije uporabljajo varnostne kopije za obnovitev podatkov in vnovično vzpostavitev normalnih pogojev delovanja po katastrofi (na primer po naravni katastrofi, obsežni okvari opreme ali kibernetskem napadu). To je proaktivni pristop, s katerim lahko organizacija zmanjša vpliv nepredvidljivih dogodkov in se hitreje odzove na načrtovane ali nenačrtovane prekinitve.

  • Zaščita končne točke

    Končne točke so fizične naprave, ki se povezujejo z omrežjem – kot so prenosne naprave, namizni računalniki, navidezni računalniki, vdelane naprave in strežniki. Z zaščito končne točke lahko organizacija spremlja te naprave in se zaščititi pred akterji groženj, ki iščejo ranljivosti ali človeške napake in izkoriščajo varnostne pomanjkljivosti.

  • Posnetki

    Posnetek je pogled datotečnega sistema v določenem trenutku; ohrani ta pogled in sledi morebitnim spremembam, izvedenim po tem določenem trenutku. Ta rešitev za zaščito podatkov se nanaša na polja pomnilnikov, ki namesto strežnikov uporabljajo zbirko pogonov. Polja običajno ustvarijo katalog, ki kaže na lokacijo podatkov. Posnetek kopira polje in nastavi podatke samo za branje. V katalogu so ustvarjeni novi vnosi, medtem ko so stari katalogi ohranjeni. Posnetki vključujejo tudi sistemske konfiguracije za obnovitev strežnikov.

  • Izbris podatkov

    Izbris je brisanje shranjenih podatkov, ki jih organizacija ne potrebuje več. Ta postopek je znan tudi kot čiščenje ali brisanje podatkov in je pogosto zakonska zahteva. V skladu s Splošno uredbo o varstvu podatkov ima posameznik pravico, da zahteva izbris svojih osebnih podatkov. Ta pravica do izbrisa je imenovana tudi »pravica do pozabe«.

Zaščita, varnost in zasebnost

Morda se zdi, da gre za zamenljive izraze, vendar imajo zaščita podatkov, varnost podatkov in zasebnost podatkov vsak svoj namen. Zaščita podatkov vključuje strategije in postopke, ki jih organizacija uporablja za zaščito občutljivih podatkov pred poškodbami, ogroženostjo in izgubo. Varnost podatkov se nanaša na celovitost vaših podatkov in jih ščiti pred poškodbami s strani nepooblaščenih uporabnikov ali notranjih groženj. Zasebnost podatkov nadzira, kdo lahko dostopa do vaših podatkov, in določa, katera vsebina je lahko posredovana tretjim osebam.

Najboljše prakse zaščite podatkov

Najboljše prakse za zaščito podatkov vključujejo načrte, pravilnike in strategije za nadzor dostopa do podatkov, spremljanje dejavnosti omrežja in uporabe ter odzivanje na notranje in zunanje grožnje.

  • Ostanite na tekočem z zahtevanimi

    V celovitem načrtu za upravljanje so določene regulativne zahteve in njihova uporaba za podatke organizacije. Preverite, ali imate pregled nad vsemi podatki, in jih ustrezno razvrstite. Prepričajte se, da delujete v skladu s predpisi glede zasebnosti, ki veljajo v določeni panogi.

  • Omejite dostop

    Nadzor dostopa uporablja preverjanje pristnosti za preverjanje identitete uporabnikov ter pooblastilo za določanje vrste informacij, ki si jih lahko uporabniki ogledajo in jih uporabljajo. V primeru kršitve varnosti podatkov je nadzor dostopa eden od prvih pravilnikov, ki jih morate preveriti, da določite, ali je bil pravilno uveden in vzdrževan.

  • Ustvarite pravilnik o kibernetski varnosti

    Pravilnik o kibernetski varnosti določa in usmerja dejavnosti IT v organizaciji. Zaposlene ozavešča o pogostih grožnjah v zvezi s podatki in jim omogoča, da so bolj pozorni na varnost in zaščito. Prav tako lahko pojasni strategije za varstvo podatkov in spodbuja kulturo odgovorne uporabe podatkov.

  • Nadzirajte dejavnost

    Z rednim spremljanjem in preskušanjem lahko lažje prepoznate območja morebitnega tveganja. Uporabite umetno inteligenco ter avtomatizirajte opravila spremljanja podatkov za hitro in učinkovito odkrivanje groženj. Ta sistem zgodnjega opozarjanja vas opozori na morebitne težave v zvezi s podatki in varnostjo, še preden lahko te povzročijo škodo.

  • Ustvarite načrt za odziv na dogodek

    Če imate na voljo načrt za odziv na dogodek, še preden pride do morebitne kršitve varnosti podatkov, ste pripravljeni na ustrezno ukrepanje. Skupini za odzivanje (na primer vodji oddelka za IT, ekipi InfoSec in vodji oddelka za komunikacije) je v pomoč pri ohranjanju celovitosti vaših sistemov in čim hitrejši ponovni vzpostavitvi delovanja organizacije.

  • Prepoznajte tveganja

    Zaposleni, dobavitelji, pogodbeniki ali partnerji imajo morda informacije o vaših podatkih, računalniških sistemih in varnostnih praksah. Z vpogledom v podatke in poznavanjem načina njihove uporabe v digitalnem okolju lahko lažje prepoznate nepooblaščen dostop do podatkov ter jih zaščitite pred morebitno zlorabo.

  • Izboljšajte varnost shrambe podatkov

    Varnost shrambe podatkov uporablja metode, kot so nadzor dostopa, šifriranje in varnost končne točke, za ohranjanje celovitosti in zaupnosti shranjenih podatkov. Zmanjša tudi tveganje namerne ali nenamerne škode in zagotavlja neprekinjeno razpoložljivost podatkov.

  • Usposabljajte zaposlene

    Notranja tveganja – naj bodo namerna ali nenamerna – so glavni vzrok za kršitve varnosti podatkov. Jasno posredujte pravilnike o preprečevanju kršitev varnosti podatkov na vseh ravneh, tako da bodo zaposleni lažje ravnali v skladu z njimi. Pogosto ponavljajte usposabljanja s posodobljenimi srečanji in smernicami v primeru določenih težav.

Skladnost s predpisi in zakoni glede zaščite podatkov

Vsaka organizacija mora upoštevati ustrezne standarde, zakone in predpise glede zaščite podatkov. Zakonske obveznosti med drugim vključujejo zbiranje le tistih podatkov, ki jih potrebujete od strank ali zaposlenih, njihovo varno hranjenje in pravilno odstranjevanje. V nadaljevanju so navedeni primeri zakonov glede zasebnosti.

Splošna uredba o varstvu podatkov je najstrožji zakon glede zasebnosti in varnosti podatkov. Pripravljena in sprejeta je bila v Evropski uniji, organizacije po svetu pa morajo delovati v skladu z njo, če želijo pridobiti osebne podatke oziroma zbirajo osebne podatke državljanov ali prebivalcev Evropske unije ali jim ponujajo blago in storitve.

Kalifornijski zakon o zasebnosti potrošnikov (CCPA) zagotavlja pravice do zasebnosti kalifornijskih potrošnikov, vključno s pravico do obveščenosti o vrsti osebnih podatkih, ki jih podjetja zbirajo, ter o načinu njihove uporabe in njihovega posredovanja, pravico do izbrisa zbranih osebnih podatkov ter pravico do zavrnitve prodaje njihovih osebnih podatkov.

Zakon HIPAA ščiti zdravstvene podatke bolnika pred razkritjem brez njegove vednosti ali privolitve. Pravilo o zasebnosti HIPAA varuje osebne zdravstvene podatke in je bil izdan za namene uvajanja zahtev zakona HIPAA. Varnostno pravilo HIPAA ščiti določljive zdravstvene podatke, ki jih ponudnik zdravstvenih storitev ustvarja, prejema, vzdržuje ali prenaša v elektronski obliki.

Zakon Gramm-Leach-Bliley Act (GLBA) – znan tudi kot ameriški zakon o finančni modernizaciji iz leta 1999 (Financial Modernization Act) – od finančnih ustanov zahteva, da strankam pojasnijo svoje prakse posredovanja informacij in zaščitijo občutljive podatke.

Zvezna komisija za trgovino je glavni organ za zaščito potrošnikov v Združenih državah Amerike. Zakon o Zvezni komisiji za trgovino razglaša vse nepoštene načine konkurence in nepoštena ali zavajajoča dejanja oziroma prakse, ki vplivajo na trgovino, kot nezakonite.

Ker se strategije in postopki razvijajo, morate biti pozorni na nekatere trende na področju zaščite podatkov. Med njimi so skladnost z zakonodajo, upravljanje tveganj in prenosljivost podatkov.

  • Več predpisov o zaščiti podatkov

    Splošna uredba o varstvu podatkov (GDPR) je postala merilo za to, kako druge države zbirajo, razkrivajo in shranjujejo osebne podatke. Po njeni uvedbi sta bila uvedena tudi zakon CCPA v ZDA (Kalifornija) in Splošni zakon o varstvu osebnih podatkov v Braziliji za namene obvladovanja širjenja spletnega potrošništva ter prilagojenih izdelkov in storitev.

  • Zaščita mobilnih podatkov

    Preprečevanje dostopa nepooblaščenih uporabnikov do omrežja vključuje zaščito občutljivih podatkov, shranjenih v prenosnih napravah, kot so prenosniki, tablični računalniki in pametni telefoni. Varnostna programska oprema s preverjanjem identitete preprečuje ogroženost naprav.

  • Manjši dostop za tretje osebe

    Krivci kršitev varnosti podatkov so pogosto tretje osebe (kot so dobavitelji, partnerji in ponudniki storitev), ki imajo prevelik dostop do omrežja in podatkov organizacije. Upravljanje tveganj tretjih oseb se uveljavlja v predpisih o skladnosti, ki omejujejo dostop tretjih oseb do podatkov in njihovo uporabo.

  • Upravljanje kopiranja podatkov

    Upravljanje kopiranja podatkov odkriva podvojene podatke, primerja podobne podatke in organizaciji omogoča brisanje neuporabljenih kopij podatkov. Ta rešitev zagotavlja manjše neskladnosti zaradi podvojenih podatkov, nižje stroške shranjevanja ter ohranjanje varnost in skladnosti s predpisi.

  • Prenosljivost podatkov

    Na začetku razvoja računalništva v oblaku sta bila prenosljivost in selitev velikih naborov podatkov v druga okolja težavna. Tehnologija v oblaku danes omogoča večjo prenosljivost podatkov, tako da jih lahko organizacije prenašajo med okolji – na primer iz podatkovnih središč na mestu uporabe v javne oblake ali med ponudniki storitev v oblaku.

  • Vnovična vzpostavitev po katastrofi kot storitev

    Z vnovično vzpostavitvijo po katastrofi kot storitev lahko organizacije katere koli velikosti uporabljajo stroškovno učinkovite storitve v oblaku za podvajanje sistemov in obnovitev delovanja po katastrofi. Zagotavlja prilagodljivost in skalabilnost tehnologije v oblaku ter velja za učinkovito rešitev za preprečevanje izpadov storitev.

Odkrivanje in razvrščanje podatkov

Odkrivanje in razvrščanje podatkov sta ločena postopka, ki skupaj zagotavljata vpogled v podatke organizacije. Orodje za odkrivanje podatkov pregleda celotno digitalno okolje in odkrije, kje so na voljo strukturirani in nestrukturirani podatki, kar je ključnega pomena za strategijo zaščite podatkov. Razvrščanje podatkov organizira podatke, pridobljene v okviru postopka odkrivanja podatkov, na podlagi vrste datoteke, vsebine in drugih metapodatkov – omogoča odpravljanje podvojenih podatkov ter lažje iskanje in pridobivanje podatkov.

Nezaščiteni podatki so ranljivi podatki. Če veste, kateri podatki so na voljo in kje so shranjeni, jih lahko zaščitite, hkrati pa zagotovite skladnost z zakonskimi zahtevami, povezanimi s postopki in nadzorom podatkov.

Rešitve za zaščito podatkov

Rešitve za zaščito podatkov omogočajo zaščito podatkov pred izgubo ter vključujejo varnost, varnostno kopiranje in obnovitev za podporo načrta organizacije za vnovično vzpostavitev po katastrofi.

Zagotovite lažje razumevanje občutljivih podatkov v organizaciji. Pridobite vpogled v vse svoje podatke, zmogljivejšo zaščito v različnih aplikacijah, oblakih in napravah ter upravljanje zakonskih zahtev z rešitvami Microsoftove varnosti.

Več informacij o Microsoftovi varnosti

Microsoft Purview

Raziščite rešitve za upravljanje, zaščito in skladnost s predpisi za podatke organizacije.

Več informacij

Preprečite izgubo podatkov

Prepoznajte neprimerno skupno rabo, prenose ali uporabo občutljivih podatkov na končnih točkah, v aplikacijah in storitvah.

Več informacij

Zaščita informacij

Zaščitite in upravljajte podatke z vgrajenimi, pametnimi, poenotenimi in razširljivimi rešitvami.

Več informacij

Skladnost komunikacije

Uporabite strojno učenje za odkrivanje kršitev v zvezi s komunikacijo.

Več informacij

Pogosta vprašanja

  • Primeri zaščite podatkov vključujejo zaščito pred zlonamerno ali nenamerno škodo, strategijo vnovične vzpostavitve po katastrofi in omejitev dostopa za ustrezne uporabnike.

  • Namen zaščite podatkov je varovanje podatke organizacije pred ogroženostjo, poškodbami in izgubo.

  • Splošna uredba o varstvu podatkov (GDPR) določa, da imajo posamezniki temeljne pravice in svoboščine, ko gre za varstvo njihovih osebnih podatkov. Vsaka organizacija, ki zbira osebne podatke, mora od posameznikov pridobiti izrecno privolitev in zagotoviti preglednost uporabe teh podatkov.

  • Orodja za zaščito podatkov vključujejo odkrivanje in popis podatkov, šifriranje, brisanje podatkov, upravljanje dostopa in varnost končnih točk.

  • Za zagotovitev zaščite podatkov lahko podjetja najprej uvedejo varnostni pravilnik, kjer so določene stvari, kot sta odobrena uporaba in poročanje o dogodkih. Pomembni ukrepi so tudi varnostno kopiranje pomembnih podatkov, posodabljanje programske opreme in izobraževanje zaposlenih glede zaščite podatkov.

Spremljajte Microsoft 365