Trace Id is missing
Перейти до основного
Захисний комплекс Microsoft

Що таке захист даних?

Щоб захищати дані, потрібно розуміти їх, знати місце їх розташування та визначати пов’язані з ними ризики. Дізнайтеся, як захистити свої дані.

Визначення захисту даних

Захист даних допомагає вбезпечувати делікатну інформацію протягом усього її життєвого циклу, розуміти контекст дій і даних користувачів, а також запобігати несанкціонованому використанню або втраті даних.

Важливість захисту даних не варто недооцінювати в часи поширення кіберзагроз і внутрішніх ризиків. Він потрібен для наочного представлення типів даних, запобігання їх несанкціонованому використанню, а також визначення та зменшення пов’язаних із ними ризиків. Рішення для захисту даних і керування їх безпекою дають змогу планувати, проводити й контролювати заходи безпеки в організації за допомогою грамотно складених політик та процедур.

Типи захисту даних

Ефективні рішення для захисту інформації мають враховувати рівень конфіденційності наборів даних і нормативно-правові вимоги до вашої організації. Нижче наведено типи захисту даних, що дають змогу запобігати порушенням їх безпеки, ефективно дотримуватися нормативних вимог і уникати шкоди для репутації.

  • Керування доступом, що дає змогу контролювати доступ до локальних і хмарних даних.
  • Автентифікація користувачів за допомогою паролів, карток доступу або біометричних даних.
  • Резервне копіювання й відновлення даних для забезпечення до них доступу після збою в системі, їх пошкодження або аварії.
  • Стійкість даних як проактивний підхід до аварійного відновлення й безперервності бізнес-процесів.
  • Видалення даних, що дає змогу правильно їх утилізувати й робити невідновними.
  • Програмне забезпечення для маскування даних, що приховує літери й цифри від незареєстрованих користувачів за допомогою проксі-символів.
  • Рішення для захисту від втрати даних, які запобігають несанкціонованому використанню делікатної інформації.
  • Шифрування, яке перетворює вміст файлів на непридатний для читання незареєстрованими користувачами.
  • Захист даних, що дає змогу класифікувати делікатну інформацію у файлах і документах.
  • Керування внутрішніми ризиками для зменшення небезпечних дій користувачів.

Типи даних, які потребують захисту

Будь-яка людина, що стала жертвою крадіжки даних кредитної картки або ідентифікаційних даних, починає краще усвідомлювати важливість ефективного захисту інформації. Кіберзлочинці постійно вигадують нові способи викрадення персональних даних, вимагання за них викупу, їх продажу й інших технік обману. Витоки даних також часто стаються з вини нинішніх і колишніх співробітників. Саме тому організаціям необхідно мати рішення для керування внутрішніми ризиками.

Кожна галузь має власні вимоги до того, що і як потрібно захищати. Утім до найпоширеніших типів даних, що потребують захисту, належать, зокрема, такі:

  • персональні дані працівників і клієнтів;
  • фінансові дані, як-от номери кредитних карток, банківська інформація та корпоративні бухгалтерські звіти;
  • медична інформація, зокрема про отримані послуги, діагнози й результати обстежень;
  • інтелектуальна власність, наприклад комерційні таємниці й патенти;
  • дані про бізнес-операції, як-от відомості про ланцюжок постачання й виробничі процеси.

Загрози безпеці даних

В Інтернеті – як на роботі, так і вдома – можна отримувати доступ до облікових записів та різних засобів комунікації, а також користуватись і ділитись інформацією. Різні кібератаки й внутрішні ризики можуть поставити інформацію, якою ви ділитеся з іншими, під загрозу.

  • Злам

    Злам – це будь-яка спроба викрадення інформації, пошкодження мереж або файлів, проникнення в цифрове середовище організації чи руйнування її даних і порушення робочих процесів за допомогою комп’ютера. До методів зламу належать фішинг, зловмисні програми, розшифрування коду й розподілені атаки на відмову в обслуговуванні.

  • Шкідливе програмне забезпечення

    Шкідливе програмне забезпечення – це термін на позначення хробаків, вірусів і шпигунських програм, за допомогою яких незареєстровані користувачі проникають у середовище. Отримавши до нього доступ, вони можуть порушити роботу IT-мережі й кінцевих пристроїв або викрасти облікові дані з файлів.

  • Зловмисні програми з вимогою викупу

    Зловмисні програми з вимогою викупу – це шкідливе ПЗ, через яке зловмисники блокують доступ до мережі й файлів жертви, доки вона не сплатить викуп. Така програма може потрапити на комп’ютер користувача, наприклад, тоді, коли він відкриває вкладення в електронному листі й натискає рекламу. Після цього вона зазвичай блокує доступ до файлів або вимагає внести оплату.

  • Фішинг

    Фішинг-атаки обманним шляхом змушують людей або організації розкрити таку інформацію, як паролі й номери кредитних карток. За їх допомогою зловмисники видають себе за авторитетну компанію, добре відому жертві, щоб викрасти або пошкодити її делікатні дані.

  • Витік даних

    Витік даних – це навмисне або випадкове передавання внутрішніх даних організації зовнішньому одержувачу. Він здійснюється за допомогою електронної пошти, Інтернету й таких пристроїв, як ноутбуки та портативні накопичувачі. Вилучення файлів і документів із локального середовища також вважається різновидом витоку даних. 

  • Недбалість

    Недбалість – це свідоме порушення політики безпеки працівником без наміру заподіяти шкоду компанії. Наприклад, він може поділитися делікатними даними з колегою, який не має доступу, або ввійти в ресурси компанії через незахищене безпровідне з’єднання. Ще один приклад – впустити в будівлю особу, не перевіривши її перепустку.

  • Шахрайство

    Шахрайство здійснюють досвідчені користувачі, які хочуть скористатись онлайн-анонімністю й доступністю в реальному часі. Вони можуть створювати транзакції за допомогою вражених облікових записів і викрадених номерів кредитних карток. Організації можуть стати жертвами шахрайства з гарантією або поверненням коштів чи шахрайських дій із боку торгівельних партнерів.

  • Крадіжка

    Крадіжка – це внутрішня загроза, що призводить до викрадення даних, грошей або інтелектуальної власності. Її здійснюють для особистої наживи або для того, щоб завдати шкоди організації. Наприклад, довірений постачальник може продавати ідентифікаційні номери клієнтів у даркнеті або використовувати внутрішню інформацію про них, щоб відкрити власний бізнес.

Технології для захисту даних

Технології для захисту даних – ключові компоненти комплексної стратегії безпеки інформації. Існують різні рішення для захисту від втрати даних, які дають змогу виявляти внутрішні та зовнішні дії, позначати підозрілі або ризиковані операції, пов’язані з обміном даними, а також керувати доступом до делікатної інформації. Щоб запобігти витоку делікатних даних, упровадьте зазначені нижче технології для їх захисту.

Шифрування даних. Використовуйте шифрування (перетворення даних на код) для даних під час зберігання або переміщення, щоб незареєстровані користувачі не могли переглядати вміст файлів, навіть якщо отримають доступ до їх розташування.

Автентифікація й авторизація користувачів. Перевіряйте облікові дані користувачів і підтверджуйте, що права доступу призначаються й застосовуються належним чином. Керування доступом на основі ролей допомагає надавати доступ лише тим користувачам в організації, які його потребують.

Виявлення внутрішніх ризиків. Визначайте дії, які можуть указувати на внутрішні ризики або загрози. Оцінюйте контекст використання даних і знайте, коли певні завантаження, електронні листи за межами вашої організації та перейменовані файли вказують на підозрілу поведінку.

Політики захисту від втрати даних. Створюйте й застосовуйте політики, які визначають спосіб керування даними та надання до них спільного доступу. Визначайте зареєстрованих користувачів, програми та середовища для різних дій, щоб запобігати витоку або крадіжці даних.

Резервне копіювання даних. Створюйте точні резервні копії даних своєї організації, щоб ваші вповноважені адміністратори могли відновити їх у разі збою в сховищі, порушення безпеки або будь-якої іншої аварії.

Оповіщення в реальному часі. Автоматизуйте сповіщення про потенційне неналежне використання даних і отримуйте оповіщення про можливі проблеми з безпекою, перш ніж вони завдадуть шкоди вашим даним, репутації або конфіденційності співробітників та клієнтів.

Оцінювання ризиків. Пам’ятайте, що працівники, постачальники, підрядники та партнери володіють інформацією про ваші дані й заходи безпеки. Щоб захищати дані від неправильного використання, контролюйте їх і те, як вони застосовуються у вашій організації.

Моніторинг даних. Вирішуйте основні проблеми, зокрема пов’язані із захистом, правильністю й доступністю даних, виконуючи регулярні перевірки. За їх допомогою ви зможете контролювати, хто і як використовує ваші дані.

Стратегії керування безпекою даних

Стратегії управління безпекою даних включають політики, процедури та системи керування, які допомагають ефективніше захищати інформацію.

  • Упровадьте передові практики для керування паролями

    Упровадьте просте у використанні рішення для керування паролями. Завдяки йому вам більше не потрібно буде користуватися наліпками й електронними таблицями, а вашим працівникам – запам’ятовувати різні паролі.
    Використовуйте кодові фрази замість паролів. Їх простіше запам’ятати працівникам і складніше відгадати кіберзлочинцям.
    Активуйте двохфакторну автентифікацію (2FA). Так незареєстровані користувачі зможуть отримати доступ до ваших ресурсів лише після того, як нададуть додатковий код, надісланий на інший пристрій. Тому навіть якщо кодову фразу або пароль буде вражено, безпека входу в систему залишиться непорушеною. 
    Змінюйте свої паролі після порушення безпеки. Якщо змінювати паролі частіше, з часом вони стануть слабшими.
    Не використовуйте повторно ті самі кодові фрази або паролі. Уражені паролі часто використовують для зламу інших облікових записів.

  • Складіть план захисту

    Захищайте делікатні дані. Виявляйте й класифікуйте дані у великому масштабі, щоб володіти відомостями про обсяг, тип і розташування інформації на всіх етапах її життєвого циклу.
    Керуйте внутрішніми ризиками. Контролюйте дії користувачів і застосування інформації, щоб виявляти потенційні ризиковані дії, які можуть спричинити інциденти порушення безпеки даних.
    Упроваджуйте належні елементи й політики керування доступом. Захищайте делікатні дані від неправомірного збереження, зберігання або друку.

  • Використовуйте шифрування для захисту даних

    Шифрування даних приховує делікатну інформацію від незареєстрованих користувачів. Навіть якщо вони отримають доступ до середовища з вашими даними або побачать їх під час передавання, вони не зможуть прочитати або зрозуміти їх і скористатися ними.

  • Оновлюйте програми й систему безпеки

    Це дасть змогу мінімізувати відомі вразливості, якими часто користуються кіберзлочинці для викрадення делікатної інформації. Крім того, регулярні оновлення допомагають захищати системи від порушень безпеки.

  • Навчайте працівників захищати дані

    Захист даних організації – це не лише обов’язок фахівців IT-відділу. Ваші співробітники також мають бути обізнані в таких питаннях, як розголошення, викрадення й пошкодження інформації. Рекомендації щодо захисту даних актуальні як для віртуальних, так і фізичних даних. Формальне навчання потрібно проводити на регулярній основі – щоквартально, двічі на рік або щороку.

  • Упроваджуйте протоколи безпеки для віддаленої роботи

    Щоб упровадити протоколи безпеки для віддалених працівників, спочатку визначте свої політики й процедури. Для цього, як правило, потрібно проводити обов’язкове навчання, присвячене безпеці, і визначати допустимі програми та спосіб їх використання. Протоколи також мають охоплювати процедуру захисту всіх пристроїв, якими користуються ваші працівники.

Забезпечення відповідності нормативним вимогам

Організації мають дотримуватися відповідних стандартів, законів і нормативно-правових вимог щодо захисту даних. До них, зокрема, належить збирання лише потрібної інформації про клієнтів або працівників, забезпечення її захисту та належне видалення. Приклади законів про конфіденційність: Генеральний регламент із захисту персональних даних (GDPR), Закон про мобільність і підзвітність медичного страхування (HIPAA) та Закон Каліфорнії про захист конфіденційних даних користувачів (CCPA).

GDPR – це законодавчий акт із найсуворішими вимогами до конфіденційності та безпеки даних. Закон було розроблено та прийнято в Європейському Союзі (ЄС), але дотримуватися його повинні організації в усьому світі, якщо вони збирають персональні дані громадян або жителів ЄС або націлюються на них чи пропонують їм товари й послуги.

Закон HIPAA захищає медичні дані пацієнтів від розкриття без їхнього відома або згоди. Правило конфіденційності HIPAA забезпечує захист персональних медичних даних і націлене на дотримання вимог HIPAA. Правило безпеки HIPAA допомагає захистити персональні медичні дані, які створює, отримує, зберігає або передає в електронному вигляді постачальник послуг охорони здоров’я.

Закон CCPA захищає право споживачів із Каліфорнії на конфіденційність, зокрема право знати, яка персональна інформація збирається, як вона використовується та надається третім сторонам, право на видалення зібраних персональних даних і право відмовитися від їх продажу.

Уповноважений за захист даних (DPO) виконує роль керівника, який стежить за дотриманням вимог і гарантує обробку персональної інформації в організації згідно із законами про її захист. До його обов’язків входить інформування й консультування команд із забезпечення відповідності вимогам, проведення навчання в організації та повідомлення про недотримання правил і нормативних вимог.

Якщо недотримання вимог стає причиною порушення безпеки даних, воно часто коштує організаціям мільйони доларів. Наслідки включають викрадення ідентифікаційних даних, збої в роботі й втрату клієнтів.

Висновок

Рішення для захисту даних і керування їх безпекою допомагають виявляти й оцінювати загрози, дотримуватися нормативних вимог та зберігати цілісність даних.

Регулярно створюйте резервні копії даних, зберігайте їх за межами поточного об’єкта, розробляйте стратегії керування їх безпекою, використовуйте надійні паролі або кодові фрази та застосовуйте двохфакторну автентифікацію.

Уживання заходів щодо вбезпечення інформації протягом усього її життєвого циклу, розуміння способу її використання, запобігання її витоку та створення спеціальних політик – це основа надійного захисту у вашій організації.

Дізнайтеся, як захищати свої дані в хмарах, програмах і на кінцевих точках за допомогою спеціальних процедур та інструментів.

Дізнайтеся більше про Захисний комплекс Microsoft

Microsoft Purview

Ознайомтеся з рішеннями для керування корпоративними даними, їх захисту та забезпечення відповідності вимогам.

Захист від втрати даних

Виявляйте несанкціоноване використання делікатних даних або надання спільного доступу до них у кінцевих точках, програмах і службах.

Керування внутрішніми ризиками

Дізнайтеся, як визначати потенційні ризики в діях працівників і постачальників.

Захист даних

Знаходьте, класифікуйте та захищайте найделікатніші дані у своєму цифровому середовищі.

Запитання й відповіді

  • Захист даних допомагає вбезпечувати делікатну інформацію протягом усього її життєвого циклу, розуміти контекст дій і даних користувачів, а також запобігати несанкціонованому використанню даних. Він передбачає контроль даних і їх розташування, а також визначення пов’язаних із ними загроз.

  • Нижче перелічено деякі з них.

    • Елементи керування доступом, що вимагають облікові дані для отримання доступу до локальних і хмарних даних.
    • Автентифікація користувачів за допомогою паролів, карток доступу або біометричних даних.
    • Резервне копіювання й відновлення даних для забезпечення до них доступу після збою в системі, їх пошкодження або аварії.
    • Стійкість даних як проактивний підхід до аварійного відновлення й безперервності бізнес-процесів.
    • Видалення даних, що дає змогу правильно утилізувати їх і робити невідновними.
    • Програмне забезпечення для маскування даних, що приховує літери й цифри від незареєстрованих користувачів за допомогою проксі-символів.
    • Рішення для захисту від втрати даних, які запобігають несанкціонованому використанню делікатної інформації.
    • Шифрування, яке перетворює вміст файлів на непридатний для читання незареєстрованими користувачами.
    • Захист даних, що дає змогу класифікувати делікатну інформацію у файлах і документах.
    • Керування внутрішніми ризиками для зменшення небезпечних дій користувачів.
  • Один із прикладів захисту даних – використання технології, яка дає змогу визначати розташування делікатних даних у вашій організації та розуміти, як вони застосовуються і як до них отримують доступ.

  • Захищати дані важливо, оскільки це допомагає вбезпечитися від кібератак, внутрішніх загроз і людських помилок. Усі вони можуть призвести до порушення безпеки даних.

  • Чотири основні проблеми, пов’язані із захистом даних, – конфіденційність, цілісність, доступність і відповідність вимогам.

Підпишіться на Microsoft 365