stringtranslate.com

Безопасность данных

Безопасность данных означает защиту цифровых данных , например, данных в базе данных , от разрушительных сил и нежелательных действий неавторизованных пользователей, [1] таких как кибератака или утечка данных . [2]

Технологии

Шифрование диска

Шифрование диска относится к технологии шифрования , которая шифрует данные на жестком диске . [3] Шифрование диска обычно реализуется либо в программном обеспечении (см. Программное обеспечение для шифрования диска ), либо в аппаратном обеспечении (см. Аппаратное обеспечение для шифрования диска ). Шифрование диска часто называют шифрованием на лету (OTFE) или прозрачным шифрованием.

Программные и аппаратные механизмы защиты данных

Программные решения безопасности шифруют данные, чтобы защитить их от кражи. Однако вредоносная программа или хакер могут повредить данные и сделать их невозможными для восстановления, что сделает систему непригодной для использования. Аппаратные решения безопасности предотвращают доступ к данным на чтение и запись, что обеспечивает очень надежную защиту от взлома и несанкционированного доступа.

Аппаратная безопасность или вспомогательная компьютерная безопасность предлагают альтернативу компьютерной безопасности, основанной только на программном обеспечении. Токены безопасности , например, использующие PKCS#11 или мобильный телефон, могут быть более безопасными, поскольку для их компрометации требуется физический доступ. [4] Доступ активируется только при подключении токена и вводе правильного PIN-кода (см. двухфакторная аутентификация ). Однако ключами может пользоваться любой, кто имеет к ним физический доступ. Новые технологии аппаратной безопасности решают эту проблему, предлагая полное доказательство безопасности данных. [5]

Обеспечение аппаратной безопасности: аппаратное устройство позволяет пользователю входить в систему, выходить из системы и устанавливать различные уровни с помощью действий вручную. Устройство использует биометрическую технологию , чтобы предотвратить вход, выход из системы и изменение уровней привилегий злоумышленниками. Текущее состояние пользователя устройства считывается контроллерами периферийных устройств, таких как жесткие диски. Незаконный доступ злонамеренного пользователя или вредоносной программы прерывается в зависимости от текущего состояния пользователя контроллерами жесткого диска и DVD, что делает невозможным незаконный доступ к данным. Аппаратный контроль доступа более безопасен, чем защита, обеспечиваемая операционными системами, поскольку операционные системы уязвимы для вредоносных атак вирусов и хакеров. Данные на жестких дисках могут быть повреждены после получения злонамеренного доступа. При аппаратной защите программное обеспечение не может манипулировать уровнями привилегий пользователя. Хакер или вредоносная программа не могут получить доступ к защищенным данным, защищенным аппаратным обеспечением, или выполнить несанкционированные привилегированные операции . Это предположение нарушается только в том случае, если само оборудование является вредоносным или содержит бэкдор. [6] Аппаратное обеспечение защищает образ операционной системы и права файловой системы от несанкционированного доступа. Таким образом, можно создать полностью безопасную систему, используя сочетание аппаратной безопасности и политики безопасного системного администрирования.

Резервные копии

Резервные копии используются для обеспечения возможности восстановления утерянных данных из другого источника. В большинстве отраслей считается необходимым сохранять резервную копию любых данных, и этот процесс рекомендуется для любых файлов, важных для пользователя. [7]

Маскирование данных

Маскирование структурированных данных — это процесс сокрытия (маскирования) определенных данных в таблице или ячейке базы данных, чтобы обеспечить безопасность данных и не допустить раскрытия конфиденциальной информации неавторизованному персоналу. [8] Это может включать в себя маскирование данных от пользователей (например, чтобы представители банковских клиентов могли видеть только последние четыре цифры национального идентификационного номера клиента), разработчиков (которым нужны реальные производственные данные для тестирования новых версий программного обеспечения, но они не должны иметь возможности просматривать конфиденциальные финансовые данные), поставщики аутсорсинга и т. д. [9]

Удаление данных

Стирание данных — это метод программной перезаписи, который полностью стирает все электронные данные, находящиеся на жестком диске или другом цифровом носителе, чтобы гарантировать, что никакие конфиденциальные данные не будут потеряны при выводе из эксплуатации или повторном использовании актива.[10]

Международные законы и стандарты

Международное право

В Великобритании Закон о защите данных используется для обеспечения доступа к личным данным тем, кого они касаются, и обеспечивает возмещение лицам в случае наличия неточностей. [11] Это особенно важно для обеспечения справедливого обращения с людьми, например, в целях проверки кредитоспособности. Закон о защите данных гласит, что только отдельные лица и компании, имеющие законные и законные причины, могут обрабатывать личную информацию и не могут быть переданы другим лицам. День конфиденциальности данных — это международный праздник , учрежденный Советом Европы , который отмечается ежегодно 28 января. [12]

Поскольку Общий регламент по защите данных (GDPR) Европейского Союза (ЕС) вступил в силу 25 мая 2018 года, организации могут столкнуться со значительными штрафами в размере до 20 миллионов евро или 4% от их годового дохода, если они не соблюдают этот регламент. . [13] Предполагается, что GDPR заставит организации осознать свои риски конфиденциальности данных и принять соответствующие меры для снижения риска несанкционированного раскрытия частной информации потребителей.[14]

Международные стандарты

Международные стандарты ISO/IEC 27001 :2013 и ISO/IEC 27002 :2013 охватывают безопасность данных в рамках темы информационной безопасности , и один из их основных принципов заключается в том, что вся хранимая информация, то есть данные, должна принадлежать таким образом, чтобы было ясно, чья собственность. ответственность заключается в защите и контроле доступа к этим данным. [15] [16] Ниже приведены примеры организаций, которые помогают укреплять и стандартизировать компьютерную безопасность:

Trusted Computing Group — это организация, которая помогает стандартизировать технологии компьютерной безопасности.

Стандарт безопасности данных индустрии платежных карт (PCI DSS) — это запатентованный международный стандарт информационной безопасности для организаций, которые обрабатывают информацию о держателях карт для основных дебетовых , кредитных , предоплаченных карт , электронных кошельков, банкоматов и карт в точках продаж. [17]

Общий регламент по защите данных (GDPR) , предложенный Европейской комиссией, укрепит и унифицирует защиту данных физических лиц в ЕС, одновременно решая проблему экспорта персональных данных за пределы ЕС.

Смотрите также

Рекомендации

  1. ^ Саммерс, Г. (2004). Данные и базы данных. В: Кёне, Х. Разработка баз данных с доступом: Nelson Australia Pty Limited. п4-5.
  2. ^ «Знание ваших данных для защиты ваших данных» . Край ИТ-бизнеса . 25 сентября 2017 г. Проверено 3 ноября 2022 г.
  3. ^ «Полное шифрование диска (FDE)» . энциклопедия.kaspersky.com . Проверено 3 ноября 2022 г.
  4. ^ Тхань, До ван; Йорстад, Ивар; Йонвик, Торе; Туан, До ван (2009). «Надежная аутентификация с использованием мобильного телефона в качестве токена безопасности». 2009 6-я Международная конференция IEEE по мобильным специальным и сенсорным системам . стр. 777–782. дои : 10.1109/MOBHOC.2009.5336918. ISBN 978-1-4244-5114-2. S2CID  5470548.
  5. Стаббс, Роб (10 сентября 2019 г.). «Почему мир переходит к аппаратной безопасности». Фортаникс . Проверено 30 сентября 2022 г.
  6. ^ Ваксман, Адам; Сетумадхаван, Симха (2011), «Отключение аппаратных бэкдоров» (PDF) , Материалы симпозиума IEEE по безопасности и конфиденциальности , Окленд, Калифорния, заархивировано (PDF) из оригинала 28 сентября 2013 г.
  7. ^ «Резервное копирование | Оставайтесь умными в Интернете» . Архивировано из оригинала 7 июля 2017 г.
  8. ^ «Определение маскировки данных» . Архивировано из оригинала 27 февраля 2017 г. Проверено 1 марта 2016 г.
  9. ^ «Маскировка данных». Архивировано из оригинала 5 января 2018 года . Проверено 29 июля 2016 г.
  10. ^ Майкл Вэй; Лаура М. Групп; Фредерик Э. Спада; Стивен Суонсон (2011). «Надежное удаление данных с твердотельных накопителей на базе флэш-памяти». FAST'11: Материалы 9-й конференции USENIX «Файловые технологии и технологии хранения» . Викиданные  Q115346857 . Проверено 22 ноября 2022 г.
  11. ^ «Закон о защите данных» . Архивировано из оригинала 13 апреля 2016 года . Проверено 29 июля 2016 г.
  12. ^ Питер Фляйшер, Джейн Хорват, Шуман Госемаджумдер (2008). «Празднование конфиденциальности данных». Гугл-блог . Архивировано из оригинала 20 мая 2011 года . Проверено 12 августа 2011 г.{{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка )
  13. ^ «Штрафы GDPR». Архивировано из оригинала 31 марта 2018 г.
  14. ^ «Обнаружение и защита для цифровой трансформации». Информатика . Проверено 27 апреля 2018 г.
  15. ^ «ISO/IEC 27001:2013». ИСО . 16 декабря 2020 г. Проверено 3 ноября 2022 г.
  16. ^ «ISO/IEC 27002:2013». ИСО . 15 апреля 2021 г. Проверено 3 ноября 2022 г.
  17. ^ «Определение PCI DSS» . Архивировано из оригинала 2 марта 2016 года . Проверено 1 марта 2016 г.

Внешние ссылки

Викискладе есть медиафайлы по теме безопасности данных .