В чем разница между конфиденциальностью и безопасностью данных?

Что представляет собой конфиденциальность данных?

Федеральный закон 152-ФЗ обязывает предприятия гарантировать защиту персональных данных (ПДн) сотрудников и клиентов, строго следуя установленным регламентам хранения и обработки данных. К персональным данным причисляют любую информацию, позволяющую идентифицировать конкретного человека (субъекта ПДн): например, ФИО, контактный номер телефона, адрес проживания, фотоизображение, паспортные данные и прочее.

Принципиально важно, чтобы данные указывали на конкретное физлицо. К примеру, изолированный email или номер телефона сами по себе не признаются персональными данными, поскольку по ним невозможно достоверно установить личность владельца. Но если в базе данных организации одновременно аккумулируются ФИО клиента, его email и номер телефона, тогда этот email и номер автоматически переходят в разряд персональных данных, так как они однозначно привязаны к конкретному человеку.

Зачем нужна политика конфиденциальности данных?

Разработка политики безопасности может восприниматься как избыточная бюрократия, однако на деле она выступает критически важным элементом любой стратегии информационной безопасности. Перечислим ключевые аспекты грамотно спроектированной политики.

Обеспечение конфиденциальности данных невозможно реализовать исключительно за счет внедрения определенного набора методик или программных решений. Этот процесс также требует систематического обучения правилам защиты данных каждого сотрудника, обладающего доступом к конфиденциальным данным. Подобно тому, как пилот воздушного судна сверяется с чек-листами для контроля критических параметров до и во время полета, ИБ-специалисты обязаны задействовать политики конфиденциальности данных для гарантированной защиты персональных и иных видов данных.

Соответственно, предприятиям необходимо развернуть политику конфиденциальности данных — комплекс руководящих принципов, процессов и регламентов, где подробно зафиксировано, как конфиденциальные данные собираются, хранятся и обрабатываются во всех корпоративных системах. Качественная политика конфиденциальности данных поможет удостовериться, что весь персонал осознает значимость защиты данных, понимает механизмы предотвращения неправомерного раскрытия данных и четко знает порядок действий при обнаружении инцидентов с конфиденциальностью или нарушений регламентов.

Что такое безопасность данных?

Безопасность данных представляет собой гораздо более комплексное понятие, нежели конфиденциальность данных. Она охватывает применение совокупности физических и логических механизмов для защиты от утечек, потери или повреждения данных, спровоцированных кибератаками, ошибками персонала, халатностью или иными деструктивными факторами.

Обеспечение безопасности данных требует системного подхода, охватывающего каждую сеть, приложение, конечное устройство и файловое хранилище в ИТ-инфраструктуре. Защитные меры в сфере безопасности данных включают:

• Надежные технологии хранения данных;

• Шифрование данных как в процессе передачи, так и в состоянии покоя;

• Контроль физического и логического доступа, исключающий несанкционированный доступ;

• Маскирование данных;

• Безопасное уничтожение конфиденциальных данных, потребность в которых исчерпана.

Среди прикладных методов обеспечения безопасности данных выделяют многофакторную аутентификацию (MFA), эшелонированный контроль доступа на сетевом и программном уровнях, а также оперативное обнаружение и изоляцию неавторизованных устройств сразу после их детектирования в сети. Систематическое создание резервных копий и верифицированные планы аварийного восстановления также формируют базис безопасности данных.

Безопасность данных и конфиденциальность данных: ключевые отличия

Таким образом, конфиденциальность данных сфокусирована на управлении персональными данными в строгом соответствии с волеизъявлением субъектов, тогда как безопасность данных нацелена на всестороннюю защиту данных от любых типов угроз. Чтобы наглядно продемонстрировать эту разницу, обратимся к примеру.

Предприятие развернуло жесткие механизмы безопасности данных: реализовано ограничение доступа к конфиденциальным данным на базе принципа наименьших привилегий, запущены процессы шифрования и маскирования данных. Однако если организация аккумулирует эти данные с нарушениями — например, без получения официального письменного согласия субъекта на обработку данных, — то в таком сценарии она нарушает конфиденциальность данных, несмотря на безупречную техническую защищенность.

Этапы обеспечения конфиденциальности данных

Для гарантированного поддержания конфиденциальности данных организация может применять циклический подход, состоящий из следующих шагов. Этот процесс носит непрерывный характер, и его требуется регулярно возобновлять — например, при развертывании или выводе из эксплуатации информационных систем и датасетов.

Шаг 1. Формирование карты данных

• На старте необходимо четко определить:

• какие именно данные уже присутствуют в компании;

• кто наделен доступом к каждому конкретному набору данных;

• какие инструменты контроля доступа развернуты на текущий момент.

Шаг 2. Обнаружение и классификация конфиденциальных данных

Далее следует провести классификацию данных, чтобы детально понимать, какие типы данных размещены на ваших файловых хранилищах. Это позволит приоритизировать защиту тех файловых хранилищ, где аккумулируются критически важные данные, создающие максимальные риски для бизнеса.

Шаг 3. Назначение владельцев данных

Бизнес-владельцы данных лучше всех понимают, для каких задач существуют эти данные и какой круг лиц должен обладать доступом к ним. Именно они будут отвечать за регулярную ревизию и разграничение доступа к данным, за которые несут ответственность.

Шаг 4. Мониторинг потоков данных

Контроль того, как данные перемещаются между файловыми хранилищами или распределенными географическими локациями, критически важен для защиты конфиденциальных данных. Более того, отдельные нормативные требования регуляторов прямо запрещают трансграничную передачу данных за пределы конкретных юрисдикций. К примеру, регламент GDPR предписывает, что данные не могут покидать контур ЕС без легитимных на то оснований.

Шаг 5. Идентификация и минимизация рисков, связанных с данными

Проанализировав данные, собранные на прошлых этапах, организация обязана локализовать наиболее критические риски, связанные с данными, и приступить к проектированию и внедрению политик по обеспечению конфиденциальности данных.

Эффективные методы и программные комплексы для поиска и устранения рисков, связанных с данными, включают:

• Сканирование и классификацию данных;

• Шифрование данных;

• Маскирование данных;

• Решения класса PAM (управление привилегированным доступом);

• Системы DCAP (управление доступом к данным);

• Инструменты DLP (предотвращение утечек данных).

Как Гарда DCAP помогает в обеспечении безопасности данных

Внедрение надежных методов защиты данных жизненно важно для предотвращения крупных штрафов со стороны регуляторов, исключения дорогостоящих сбоев в бизнес-процессах и защиты репутации и финансовых потоков компании от долгосрочного ущерба.

Система Гарда DCAP позволяет предприятиям поддерживать максимальный уровень безопасности данных за счет следующих функциональных возможностей:

• Аудит файловых хранилищ

  Классификация контента под стандарты и требования регуляторов: 152-ФЗ, PCI DSS, GDPR и др. Определение легитимных бизнес-владельцев файлов, поиск дубликатов и похожих файлов, обнаружение устаревших и неиспользуемых файлов.

• Выявление нарушений

  Выявление конфиденциальной информации, находящейся в открытом доступе, обнаружение неправомерных копий, фиксация избыточных прямых или ненаследуемых прав доступа, оценка рисков и автоматическое формирование рекомендаций.

• Регистрация, хранение и анализ событий

  Помошь в расследовании инцидентов ИБ и упреждении рисков, сопряженных с доступом к данным.

• Контроль учетных записей и определение рисков

  Обнаружение учетных записей без установленных паролей или с истекшим сроком их действия. Выявление неактивных аккаунтов, которые не используются в течение заданного времени, а также автоматическое отслеживание изменений в должностных обязанностях сотрудников.