В чем разница между конфиденциальностью и безопасностью данных?

Безопасность и конфиденциальность данных – на первый взгляд, эти термины взаимозаменяемы, но на самом деле они преследуют разные цели. Безопасность данных связана с целостностью данных и направлена на их защиту от несанкционированного доступа, внешних или внутренних угроз. Конфиденциальность данных предполагает контроль за доступом к данным со стороны пользователей и определяет, какую информацию можно предоставлять посторонним. В этой статье мы подробнее обсудим, что общего у этих терминов и что их отличает.

Закон 152-ФЗ обязывает организации обеспечивать защиту персональных данных (ПДн) сотрудников и клиентов, соблюдая определенные правила хранения и обработки данных. К персональным данным относится любая информация, связанная с конкретным человеком (субъектом ПДн), например: ФИО, номер телефона, адрес, фотография, паспортные данные и т. д.

Важно, чтобы данные относились к конкретному человеку. Например, абстрактный email или номер телефона не являются персональными данными, так как невозможно определить, кому они принадлежат. Однако если в базе данных компании хранятся ФИО клиента, его email и номер телефона, тогда email и номер уже будут персональными данными, однозначно относящимися к определенному человеку.

Политика безопасности может показаться лишней бюрократической работой, но на самом деле она является жизненно важным компонентом любой программы информационной безопасности. Перечислим некоторые из преимуществ хорошо разработанной и внедренной политики безопасности:

Обеспечение конфиденциальности данных требует не только определенного набора методик или технологий. Оно также предполагает обучение установленным правилам защиты данных каждого сотрудника, имеющего доступ к конфиденциальным данным. Подобно тому, как пилот самолета использует контрольные списки для проверки критически важных элементов до и во время полета, ИТ-специалисты также должны использовать политики конфиденциальности данных для обеспечения защиты персональных и других данных.

Соответственно, организациям следует внедрить политику конфиденциальности данных — набор руководящих принципов, процессов и процедур, в которых подробно описывается, как конфиденциальные данные собираются, хранятся и используются во всех ее системах. Надежная политика конфиденциальности данных поможет убедиться в том, что все сотрудники осознают важность защиты данных, понимают, как помочь предотвратить неправомерное раскрытие данных, и знают, как действовать в случае возникновения проблем с конфиденциальностью и нарушениями политики.

Безопасность данных — это более широкое понятие, чем конфиденциальность данных. Она подразумевает использование физических и логических стратегий для защиты от утечек, потери и повреждения данных, вызванных кибератаками, ошибками, халатностью или другими факторами.

Безопасность данных требует комплексного подхода, учитывающего каждую сеть, приложение, устройство и хранилище данных в ИТ-инфраструктуре. Меры по обеспечению безопасности данных включают:

• Надежные технологии хранения данных
• Шифрование данных как в состоянии покоя, так и в движении
• Контроль физического и логического доступа, предотвращающий несанкционированный доступ
• Маскирование данных
• Безопасное удаление конфиденциальных данных, которые больше не нужны

Конкретные методы обеспечения безопасности данных включают многофакторную аутентификацию (MFA), многоуровневый контроль доступа на сетевом и программном уровнях, а также обнаружение и изоляцию неавторизованных устройств сразу после их подключения к сети. Регулярное резервное копирование и протестированные планы аварийного восстановления также являются важной составляющей безопасности данных.

Как мы видим, конфиденциальность данных связана с управлением персональными данными в соответствии с пожеланиями людей, а безопасность данных подразумевает комплексную защиту данных от угроз. Чтобы проиллюстрировать это различие, рассмотрим следующий пример.

Организация применяет строгие меры безопасности данных, в том числе обеспечивает ограничение доступа к конфиденциальным данным в соответствии с принципом наименьших привилегий, шифрует и маскирует их. Но если организация собирает эти данные ненадлежащим образом, например, не получив письменного согласия владельца на сбор данных, значит, она не уже не обеспечивает конфиденциальность самих данных.

Чтобы обеспечить конфиденциальность данных, организация может использовать цикл действий, включающий следующие шаги:

Этот процесс не одноразовый, и его необходимо повторять регулярно, например, при внедрении или выводе из эксплуатации приложений и датасетов.

Шаг 1. Создайте карту данных

Прежде всего, необходимо определить:

• Какие данные уже имеются
• Кто имеет доступ к каждому набору данных
• Какие имеются средства контроля доступа

Шаг 2. Найдите и классифицируйте конфиденциальные данные

Затем нужно классифицировать данные, чтобы знать, какие типы данных имеются на ваших хранилищах. Это поможет расставить приоритеты в обеспечении безопасности хранилищ с важными данными, которые представляют наибольший риск для бизнеса.

Шаг 3. Определите владельцев данных

Владельцы данных обладают наибольшими знаниями о том, почему данные существуют и кто должен иметь доступ к ним. Они будут отвечать за проверку и регулирование доступа к данным, которыми они владеют.

Шаг 4. Контролируйте поток данных

Понимание того, как данные перемещаются между хранилищами или географическими точками, крайне важно для обеспечения защиты конфиденциальных данных. Более того, некоторые требования регуляторов запрещают перемещение данных за пределы определенных стран или регионов. Например, GDPR предписывает, что данные не должны перемещаться за пределы ЕС без причины.

Шаг 5. Выявляйте и устраняйте риски, связанные с данными

Оценив данные, собранные на предыдущих этапах, организация должна определить самые большие риски, связанные с данными, и начать разрабатывать и внедрять стратегии по обеспечению конфиденциальности данных.

Популярные методы и решения для выявления и устранения рисков, связанных с данными, включают:

• Обнаружение и классификацию данных
• Шифрование
• Маскирование
• PAM (управление привилегированным доступом)
• DCAP (управление доступом к данным)
• DLP (предотвращение потери данных)

Внедрение надежных методов защиты данных критически важно для того, чтобы избежать серьезных штрафов за нарушение требований регуляторов, дорогостоящих сбоев в работе и долговременного ущерба для репутации и доходов организации.

Решение Makves DCAP помогает организациям обеспечивать максимальную безопасность данных благодаря следующим возможностям:

• Аудит файловых хранилищ

Классификация контента в соответствии с требованиями регуляторов: 152-ФЗ, PCI DSS, GDPR и т. д. Определение бизнес-владельцев файлов, наличие копий и похожих файлов, определение неиспользуемых файлов.

• Выявление нарушений

Конфиденциальная информация в открытом доступе, наличие нелегитимных копий, наличие прямых либо ненаследуемых прав доступа, определение рисков, подготовка рекомендаций.

• Регистрация, хранение и анализ событий

Помощь в проведении расследований инцидентов ИБ и предотвращении рисков, связанных с доступом к данным.

• Контроль учетных записей и определение рисков

Выявление пользователей без паролей или с просроченными паролями. Выявление учетных записей, неиспользуемых в течение определенного времени, отслеживание изменений должностных обязанностей сотрудников.