Що таке захист даних?
Дізнайтеся, як захистити дані, де б вони не зберігалися, і як керувати делікатною та важливою для бізнесу інформацією у своєму середовищі.
Визначення захисту даних
Захист даних ґрунтується на стратегіях і процесах, які допомагають запобігти загрозам, зокрема пошкодженню, порушенню безпеки та втраті делікатної інформації.
Безпеку даних може бути порушено через несанкціонований доступ до інформації, мережі або пристроїв організації як результат кібератаки, внутрішніх загроз або людського чинника. Окрім втрати інформації, організація може зіткнутися з наслідками у формі штрафів за порушення нормативно-правових вимог, судових процесів за розголошення персональних даних і довгострокової шкоди репутації бренду.
Втратити дані можна через навмисне або випадкове переривання нормальних робочих операцій, наприклад у разі втрати або крадіжки ноутбука, пошкодження програмного забезпечення або проникнення в мережу комп’ютерного вірусу. Для успішної реалізації стратегії захисту важливо мати політику безпеки та навчити працівників розпізнавати загрози й правильно реагувати (або не реагувати) на них.
Основні принципи захисту даних
Два основні принципи захисту інформації: доступність даних і керування ними.
Доступність даних дає працівникам змогу отримувати доступ до інформації, потрібної для повсякденних завдань. Підтримка доступності даних є частиною корпоративного плану забезпечення безперервності бізнес-процесів і аварійного відновлення, який є важливим елементом плану захисту даних і ґрунтується на використанні резервних копій, що зберігаються окремо. Доступ до цих копій скорочує період простою працівників і дає їм змогу підтримувати робочий ритм.
Керування даними охоплює керування життєвими циклами даних та інформації.
- Керування життєвим циклом даних включає створення, зберігання, використання й аналіз даних, а також їх архівацію та видалення. Цей життєвий цикл допомагає організації дотримуватися відповідних нормативних вимог і не зберігати дані без потреби.
- Керування життєвим циклом інформації – це стратегія каталогізування та зберігання інформації, отриманої на основі наборів даних організації. Вона допомагає визначити, наскільки актуальною та точною є інформація.
Чому захист даних має важливе значення?
Захист даних важливий для вбереження організації від крадіжки, витоку та втрати інформації. Він передбачає використання політик конфіденційності, які відповідають нормативно-правовим вимогам і запобігають заподіянню шкоди репутації організації.
Стратегія захисту даних охоплює моніторинг і вбезпечення інформації в середовищі, а також постійний контроль над видимістю даних і доступом до них.
Розробка політики захисту даних дає організації змогу визначати межі ризику для кожної категорії інформації та забезпечити дотримання нормативно-правових вимог. Також ця політика допомагає налаштувати автентифікацію й авторизацію, які визначають, кому потрібно надати доступ, до якої інформації та чому.
Типи рішень для захисту даних
Рішення для захисту даних дають змогу відстежувати внутрішні та зовнішні дії, позначати підозрілі або ризиковані операції, пов’язані з обміном даними, а також керувати доступом до делікатної інформації.
-
Захист від втрати даних
Захист від втрати данихЗахист від втрати даних – це рішення, яке допомагає організації запобігти поширенню, передаванню або використанню делікатних даних за допомогою таких дій, як відстеження делікатної інформації в корпоративному середовищі даних. Крім того, воно допомагає забезпечити дотримання нормативних-правових вимог, наприклад Закону про звітність та безпеку медичного страхування (HIPAA) і Генерального регламенту із захисту персональних даних (GDPR) Європейського Союзу (ЄС).
-
Реплікація
Реплікація постійно копіює інформацію з одного розташування до іншого, щоб створювати та зберігати актуальну копію даних. Це дає змогу перейти до цих даних у разі збою основної системи. Реплікація не лише захищає від втрати даних, але й забезпечує доступ до них із найближчого сервера, щоб авторизовані користувачі швидше могли скористатися інформацією. Крім того, наявність повної копії даних організації дає командам змогу проводити аналітику, не обмежуючи доступ до інформації, яка потрібна для щоденних робочих процесів.
-
Сховище з вбудованим захистом
Рішення для зберігання має забезпечувати не лише захист даних, але й давати змогу відновити видалену або змінену інформацію. Наприклад, кілька рівнів охоплення допомагають захистити дані в разі перебоїв у роботі служби, проблем з обладнанням і наслідків стихійних лих. Керування версіями забезпечує повернення даних у попередній стан, коли операція перезапису створює нову версію. Налаштуйте блокування (наприклад, лише перегляд або заборона видалення) для облікових записів зберігання, щоб запобігти випадковому або навмисному видаленню даних.
-
Брандмауери
Брандмауер допомагає керувати доступом до корпоративних даних, надаючи його лише авторизованим користувачам. Він відстежує та фільтрує мережевий трафік відповідно до правил безпеки й допомагає блокувати такі загрози, як віруси та зловмисні програми з вимогою викупу. Параметри брандмауера зазвичай дають змогу створювати правила для вхідних і вихідних підключень, установлювати правила безпеки підключень, переглядати журнали відстеження й отримувати сповіщення, коли брандмауер щось блокує.
-
Витребування даних
Витребування даних – це процес, який дає змогу визначити, які набори даних є в корпоративних центрах обробки, на ноутбуках і настільних комп’ютерах, різних мобільних пристроях і хмарних платформах. Далі ці дані категоризуються (наприклад, позначаються як обмежені, приватні або загальнодоступні) і перевіряються на відповідність нормативно-правовим вимогам.
-
Автентифікація та авторизація
Елементи керування автентифікацією та авторизацією перевіряють облікові дані користувачів і підтверджують, що права доступу призначаються й застосовуються належним чином. Контроль доступу на основі ролей – це один із прикладів надання доступу лише тим людям, яким він потрібен для виконання завдань. Цей підхід можна використовувати в поєднанні з керуванням ідентичностями та доступом, щоб контролювати доступ до інформації з боку працівників і краще захистити ресурси організації – програми, файли й дані.
-
Резервне копіювання
Резервне копіювання належить до категорії керування даними. Ви можете самі налаштовувати його частоту (наприклад, щоночі створювати повні резервні копії, а протягом дня виконувати додаткове резервне копіювання). Цей підхід дає змогу швидко відновлювати втрачені або пошкоджені дані, щоб зменшити час простою. Типова стратегія резервного копіювання передбачає збереження кількох копій даних і зберігання одного повного набору копій на окремому сервері, а іншого – за межами поточного об’єкта. Стратегія резервного копіювання має відповідати плану аварійного відновлення.
-
Шифрування
Шифрування допомагає підтримувати безпеку, конфіденційність і цілісність даних. Воно використовується для даних під час зберігання або переміщення, щоб неавторизовані користувачі не могли переглядати вміст файлів, навіть якщо отримають доступ до їх розташування. Звичайний текст перетворюється на непридатний для читання шифр (іншими словами, дані перетворюються на код), для обробки або розуміння якого потрібен ключ дешифрування.
-
Аварійне відновлення
Аварійне відновлення – це елемент інформаційної безпеки (InfoSec), який визначає, як організації використовують резервні копії для відновлення даних і повернення до нормальних умов роботи після збоїв (наприклад, через стихійне лихо, масштабну неполадку обладнання або кібератаку). Це застережний підхід, який допомагає організації зменшити вплив непередбачуваних подій і швидше реагувати на заплановані або незаплановані переривання роботи.
-
Захист кінцевих точок
Кінцеві точки – це фізичні пристрої, зокрема мобільні та вбудовані пристрої, настільні комп’ютери, віртуальні машини й сервери, які підключаються до мережі. Захист кінцевих точок допомагає організації відстежувати ці пристрої та вбезпечуватися від зловмисників, які шукають уразливості або помилки користувачів і використовують слабкі місця в системі безпеки.
-
Знімки
Знімок – це подання файлової системи в певний момент часу; у ньому зберігається поточний стан і відстежуються всі зміни, внесені після цього моменту. Це рішення для захисту даних залучає масиви сховищ, які використовують колекцію дисків замість серверів. Масиви зазвичай створюють каталог, який указує на розташування даних. Знімок копіює масив і встановлює для даних режим "лише перегляд". Нові записи створюються в каталозі, водночас старі каталоги зберігаються. Знімки також містять конфігурацію системи для відновлення серверів.
-
Стирання даних
Стирання – це видалення збережених даних, які більше не потрібні організації. Цей процес ще називається очищенням або видаленням даних і часто є нормативною вимогою. Згідно з GDPR, фізичні особи мають право вимагати стерти їхні персональні дані. Це право на стирання також називається "правом на забуття".
Захист, безпека та конфіденційність
На перший погляд, ці терміни можуть здатися взаємозамінними, однак захист, безпека та конфіденційність даних мають різні цілі. Захист даних ґрунтується на стратегіях і процесах, які допомагають організації запобігти пошкодженню, порушенню безпеки та втраті делікатних даних. Безпека даних пов’язана з цілісністю даних і спрямована на їх захист від пошкодження через несанкціонований доступ або внутрішні загрози. Конфіденційність даних контролює доступ інших користувачів до даних і визначає, до якої інформації можна надавати доступ третім сторонам.
Практичні поради щодо захисту даних
До практичних порад щодо захисту даних входять плани, політики та стратегії, які допомагають контролювати доступ до інформації, відстежувати дії в мережі та використання ресурсів, а також реагувати на внутрішні й зовнішні загрози.
-
Дотримуйтеся вимог
Комплексний план керування визначає нормативно-правові вимоги та їх застосування до даних організації. Переконайтеся, що всі ваші дані під контролем і класифіковані належним чином. Стежте за дотриманням прийнятий у вашій галузі норм щодо конфіденційності.
-
Обмежте доступ
Керування доступом використовує автентифікацію, щоб переконатися, що користувач є тим, за кого себе видає, і авторизацію, щоб визначити, яку інформацію він може переглядати та використовувати. У разі порушення безпеки даних найперше потрібно ретельно перевірити політики керування доступом і визначити, чи належним чином їх упроваджено та використано.
-
Створіть політику кібербезпеки
Політика кібербезпеки визначає та задає напрям діяльності ІТ в організації. Вона надає працівникам інформацію про поширені загрози, пов’язані з даними, і допомагає їм бути пильнішими в питаннях безпеки й захисту. Вона також допомагає роз’яснити стратегії захисту даних і сприяє формуванню культури відповідального використання інформації.
-
Відстежуйте дії
Постійне відстеження й тестування допомагають визначити області потенційного ризику. Використовуйте штучний інтелект і автоматизуйте завдання відстеження даних, щоб швидко й ефективно виявляти загрози. Ця система раннього оповіщення попереджає про потенційні проблеми з даними та безпекою, перш ніж буде завдано шкоди.
-
Створіть план реагування на інциденти
Якщо заздалегідь створити план реагування на інциденти, то в разі порушення безпеки даних ви знатимете, що робити. Цей план допоможе службі реагування (наприклад, керівнику ІТ-відділу, службі інформаційної безпеки, керівнику відділу комунікацій тощо) підтримувати цілісність систем і якнайшвидше відновити роботу організації.
-
Виявляйте ризики
Працівники, постачальники, підрядники та партнери мають інформацію про ваші дані, комп’ютерні системи й заходи безпеки. Щоб виявити несанкціонований доступ до інформації та захистити її від неналежного використання, потрібно знати, якими даними ви володієте і як вони використовуються у вашому цифровому середовищі.
-
Покращте безпеку сховища даних
Для захисту сховища даних використовуються такі методи, як керування доступом, шифрування та безпека кінцевих точок, щоб забезпечити цілісність і конфіденційність збереженої інформації. Водночас зменшується ризик навмисного або випадкового пошкодження даних і забезпечується їх постійна доступність.
-
Навчайте працівників
Навіть за відсутності злого наміру внутрішні ризики є найпоширенішою причиною порушення безпеки даних. Щоб працівникам було простіше дотримуватися вимог, чітко викладіть установлені політики захисту даних на всіх рівнях. Часто проводьте повторне навчання, яке дасть змогу освіжити знання, і надайте вказівки в разі виникнення певних проблем.
Відповідність вимогам і законодавство щодо захисту даних
Кожна організація має дотримуватися відповідних стандартів, законів і нормативно-правових вимог щодо захисту даних. До правових зобов’язань зокрема належить збирання лише потрібної інформації про клієнтів або працівників, забезпечення її захисту та належне видалення. Нижче наведено приклади законів про конфіденційність.
GDPR – це законодавчий акт із найсуворішими вимогами до конфіденційності та безпеки даних. Закон було розроблено та прийнято в ЄС, але дотримуватися його повинні організації в усьому світі, якщо вони збирають персональні дані громадян або жителів ЄС або націлюються на них чи пропонують їм товари й послуги.
Закон Каліфорнії про захист конфіденційних даних користувачів (CCPA) захищає право споживачів із Каліфорнії на конфіденційність, зокрема право знати, яку персональну інформацію збирає компанія, як вона використовується та надається третім сторонам, право на видалення зібраних персональних даних і право відмовитися від їх продажу.
Закон про звітність та безпеку медичного страхування (HIPAA) захищає медичні дані пацієнтів від розкриття без згоди або повідомлення пацієнта. Правило конфіденційності HIPAA забезпечує захист персональних медичних даних і націлене на дотримання вимог HIPAA. Правило безпеки HIPAA допомагає захистити персональні медичні дані, які створює, отримує, зберігає або передає в електронному вигляді постачальник послуг охорони здоров’я.
Закон Грема – Ліча – Блайлі (GLBA), також відомий як Закон про модернізацію фінансових послуг від 1999 року, вимагає від фінансових установ пояснити клієнтам, кому і як надається їхня інформація, а також захищати делікатні дані.
Федеральна торгова комісія – головний орган із захисту споживачів у Сполучених Штатах Америки. Закон Федеральної торгової комісії оголошує незаконними будь-які недобросовісні методи конкуренції та нечесні або оманливі дії чи методи, що впливають на торгівлю.
Тенденції в галузі захисту даних
З розвитком стратегій і процесів виникають нові тенденції, пов’язані із захистом даних, про які мають знати організації. Ці тенденції стосуються відповідності нормативно-правовим вимогам, керування ризиками та можливості перенесення даних.
-
Інші регламенти із захисту даних
GDPR став еталоном, на який орієнтуються інші країни під час збирання, розкриття та зберігання персональних даних. З моменту введення в дію, закон CCPA в штаті Каліфорнія (США) і Загальний закон Бразилії про захист персональних даних були введені через стрімке зростання онлайн-споживачів і кількості персоналізованих продуктів та послуг.
-
Захист мобільних даних
Запобігання несанкціонованому доступу до мережі включає захист делікатних даних, що зберігаються на портативних пристроях, як-от ноутбуках, планшетах і смартфонах. Програмне забезпечення для захисту використовує перевірку ідентичності, щоб запобігти порушенню безпеки пристроїв.
-
Менше доступу для третіх сторін
Порушення безпеки даних часто пов’язані з третіми сторонами (постачальниками, партнерами, постачальниками послуг тощо), яким надано заширокий доступ до мережі та інформації організації. Керування ризиками з боку третіх сторін відображене в нормативно-правових актах, які обмежують доступ третіх сторін до даних і їх використання.
-
Керування копіюванням даних
Функція керування копіюванням даних виявляє дубльовану інформацію, порівнює схожі відомості та дає організації змогу видаляти копії, які не використовуються. Це рішення мінімізує невідповідності, спричинені дубльованими даними, зменшує витрати на зберігання та допомагає забезпечити безпеку й відповідність вимогам.
-
Можливість перенесення даних
На початку хмарних обчислень було складно переносити дані, зокрема великі набори, до інших середовищ. Сучасні хмарні технології дали змогу зробити дані портативнішими, завдяки чому організації можуть переміщати їх між середовищами. Наприклад, з локальних центрів обробки даних до загальнодоступних хмар або між постачальниками хмарних послуг.
-
Аварійне відновлення як послуга
Аварійне відновлення як послуга допомагає організаціям будь-якого розміру використовувати економні хмарні служби, щоб реплікувати свої системи та відновлювати роботу після форс-мажорів. Воно забезпечує гнучкість і масштабованість хмарних технологій та вважається ефективним рішенням для запобігання перебоїв у роботі.
Витребування та класифікація даних
Витребування даних і класифікація даних – це окремі процеси, які працюють одночасно, щоб забезпечити видимість корпоративної інформації. Інструмент витребування даних сканує все цифрове середовище та виявляє, де розташована структурована та неструктурована інформація, що дуже важливо для стратегії захисту даних. Класифікація даних впорядковує інформацію, отриману під час витребування даних, групуючи її за типом файлу, вмістом та іншими метаданими, а також допомагає усунути дубльовану інформацію й спрощує її пошук і отримання.
Незахищені дані – це вразливі дані. Знаючи, якими даними ви володієте та де вони розташовані, ви можете захистити їх, дотримуючись нормативно-правових вимог, пов’язаних з обробкою даних і керуванням ними.
Рішення для захисту даних
Рішення для захисту даних допомагають уберегтися від втрати інформації та охоплюють безпеку, резервне копіювання й відновлення даних, а отже, дають змогу дотримуватися плану аварійного відновлення роботи організації.
Спростіть інтерпретацію делікатних даних в організації. Забезпечте видимість усіх даних, посильте захист програм, хмар і пристроїв та керуйте дотриманням нормативно-правових вимог за допомогою рішень Захисного комплексу Microsoft.
Дізнайтеся більше про Захисний комплекс Microsoft
Microsoft Purview
Ознайомтеся з рішеннями для керування корпоративними даними, їх захисту та забезпечення відповідності вимогам.
Захист від втрати даних
Виявляйте несанкціоноване передавання, використання делікатних даних чи надання спільного доступу до них у кінцевих точках, програмах і службах.
Захист даних
Захищайте дані та керуйте ними за допомогою вбудованих і уніфікованих розумних рішень із можливістю розширення.
Відповідність спілкування
Використовуйте машинне навчання, щоб виявляти порушення під час обміну даними.
Запитання й відповіді
-
До прикладів захисту даних належать убезпечення від зловмисних або випадкових пошкоджень, стратегія аварійного відновлення та надання доступу лише тим, кому потрібна певна інформація.
-
Захист даних спрямований на те, щоб запобігти порушенню безпеки, пошкодженню та втраті корпоративної інформації.
-
Відповідно до GDPR люди мають фундаментальні права й свободи, коли мова йде про захист персональних даних. Кожна організація, яка збирає персональні дані, має отримати на це явну згоду, а також надати всю інформацію про їх використання.
-
Інструменти для захисту інформації забезпечують витребування та інвентаризацію даних, шифрування, стирання, керування доступом до них і безпеку кінцевих точок.
-
Щоб захистити інформацію, компанії можуть створити політику безпеки, яка діятиме, наприклад, під час схвалення використання даних або створення звітів про інциденти. Також потрібно виконувати резервне копіювання важливої інформації, вчасно оновлювати програмне забезпечення та навчати працівників способів захисту даних.
Підпишіться на Microsoft 365