stringtranslate.com

Безопасность данных

Безопасность данных означает защиту цифровых данных , таких как данные в базе данных , от разрушительных сил и от нежелательных действий неавторизованных пользователей, [1] таких как кибератака или утечка данных . [2]

Технологии

Шифрование диска

. Шифрование диска относится к технологии шифрования , которая шифрует данные на жестком диске . Шифрование диска обычно осуществляется либо программным способом (см. программное обеспечение для шифрования диска ), либо аппаратным способом (см. оборудование для шифрования диска ). Шифрование диска часто называют шифрованием «на лету» (OTFE) или прозрачным шифрованием.

Программные и аппаратные механизмы защиты данных

Решения безопасности на основе программного обеспечения шифруют данные, чтобы защитить их от кражи. Однако вредоносная программа или хакер могут повредить данные , сделав их невосстановимыми, что сделает систему непригодной для использования. Решения безопасности на основе оборудования предотвращают доступ к чтению и записи данных, что обеспечивает очень надежную защиту от подделки и несанкционированного доступа.

Аппаратная безопасность или вспомогательная компьютерная безопасность предлагает альтернативу программной безопасности компьютера. Токены безопасности , такие как те, которые используют PKCS#11 или мобильный телефон, могут быть более безопасными из-за физического доступа, необходимого для их взлома. [3] Доступ возможен только при подключении токена и вводе правильного PIN-кода (см. двухфакторную аутентификацию ). Однако ключи могут использоваться любым, кто может получить к ним физический доступ. Новые технологии в области аппаратной безопасности решают эту проблему, предлагая полное доказательство безопасности данных. [4]

Отработка аппаратной безопасности: Аппаратное устройство позволяет пользователю входить в систему, выходить из нее и устанавливать различные уровни с помощью ручных действий. Устройство использует биометрическую технологию , чтобы не допустить входа в систему, выхода из нее и изменения уровней привилегий злоумышленниками. Текущее состояние пользователя устройства считывается контроллерами периферийных устройств, таких как жесткие диски. Незаконный доступ злоумышленника или вредоносной программы прерывается на основе текущего состояния пользователя контроллерами жесткого диска и DVD, что делает незаконный доступ к данным невозможным. Аппаратный контроль доступа более безопасен, чем защита, предоставляемая операционными системами, поскольку операционные системы уязвимы для вредоносных атак вирусов и хакеров. Данные на жестких дисках могут быть повреждены после получения вредоносного доступа. С аппаратной защитой программное обеспечение не может манипулировать уровнями привилегий пользователя. Хакер или вредоносная программа не могут получить доступ к защищенным данным, защищенным оборудованием, или выполнить несанкционированные привилегированные операции. Это предположение нарушается только в том случае, если само оборудование является вредоносным или содержит бэкдор. [5] Аппаратное обеспечение защищает образ операционной системы и привилегии файловой системы от несанкционированного доступа. Таким образом, можно создать полностью безопасную систему, используя сочетание аппаратной безопасности и политик безопасного системного администрирования.

Резервные копии

Резервные копии используются для обеспечения возможности восстановления потерянных данных из другого источника. В большинстве отраслей считается необходимым хранить резервную копию любых данных, и этот процесс рекомендуется для любых файлов, имеющих значение для пользователя. [6]

Маскировка данных

Маскировка структурированных данных — это процесс сокрытия (маскировки) определенных данных в таблице или ячейке базы данных для обеспечения безопасности данных и защиты конфиденциальной информации от несанкционированного доступа. [7] Это может включать в себя маскировку данных от пользователей (например, чтобы представители банковских клиентов могли видеть только последние четыре цифры национального идентификационного номера клиента), разработчиков (которым нужны реальные производственные данные для тестирования новых версий программного обеспечения, но которые не должны видеть конфиденциальные финансовые данные), поставщиков услуг аутсорсинга и т. д. [8]

Удаление данных

Удаление данных — это метод программной перезаписи, который полностью стирает все электронные данные, хранящиеся на жестком диске или другом цифровом носителе, чтобы гарантировать, что никакие конфиденциальные данные не будут утеряны при списании или повторном использовании актива. [9]

Международные законы и стандарты

Международные законы

В Великобритании Закон о защите данных используется для обеспечения того, чтобы персональные данные были доступны тем, кого они касаются, и обеспечивает возмещение ущерба лицам в случае обнаружения неточностей. [10] Это особенно важно для обеспечения справедливого обращения с людьми, например, в целях проверки кредитоспособности. Закон о защите данных гласит, что только лица и компании, имеющие законные и обоснованные причины, могут обрабатывать персональные данные и не могут быть переданы. День конфиденциальности данных — международный праздник , учрежденный Советом Европы и отмечаемый ежегодно 28 января. [11]

С тех пор как 25 мая 2018 года вступил в силу Общий регламент по защите данных (GDPR) Европейского союза (ЕС), организации могут столкнуться со значительными штрафами в размере до 20 миллионов евро или 4% от их годового дохода, если они не будут соблюдать этот регламент. [12] Предполагается, что GDPR заставит организации осознать риски, связанные с конфиденциальностью их данных , и принять соответствующие меры для снижения риска несанкционированного раскрытия личной информации потребителей. [13]

Международные стандарты

Международные стандарты ISO/IEC 27001 :2013 и ISO/IEC 27002 :2013 охватывают безопасность данных в рамках темы информационной безопасности , и одним из ее основных принципов является то, что вся хранимая информация, т. е. данные, должна принадлежать, чтобы было ясно, на ком лежит ответственность за защиту и контроль доступа к этим данным. [14] [15] Ниже приведены примеры организаций, которые помогают укреплять и стандартизировать безопасность вычислений:

Trusted Computing Group — это организация, которая помогает стандартизировать технологии безопасности вычислений.

Стандарт безопасности данных индустрии платежных карт (PCI DSS) — это запатентованный международный стандарт информационной безопасности для организаций, которые обрабатывают информацию о держателях основных дебетовых , кредитных , предоплаченных, электронных кошельков , банкоматов и карт в точках продаж. [16]

Общий регламент по защите данных (GDPR), предложенный Европейской комиссией, усилит и унифицирует защиту данных физических лиц в пределах ЕС, одновременно регулируя экспорт персональных данных за пределы ЕС.

Гарантии

Четыре типа технических мер безопасности — это контроль доступа, контроль потока, контроль вывода и шифрование данных . Контроль доступа управляет вводом данных пользователем и манипулированием данными, в то время как контроль потока регулирует распространение данных. Контроль вывода предотвращает вычитание конфиденциальной информации из статистических баз данных, а шифрование данных предотвращает несанкционированный доступ к конфиденциальной информации. [17]

Смотрите также

Ссылки

  1. ^ Саммерс, Г. (2004). Данные и базы данных. В: Koehne, H Developing Databases with Access: Nelson Australia Pty Limited. стр. 4-5.
  2. ^ «Знание ваших данных для защиты ваших данных». IT Business Edge . 2017-09-25 . Получено 2022-11-03 .
  3. ^ Thanh, Do van; Jorstad, Ivar; Jonvik, Tore; Thuan, Do van (2009). «Строгая аутентификация с использованием мобильного телефона в качестве маркера безопасности». 2009 IEEE 6-я международная конференция по мобильным специальным и сенсорным системам . стр. 777–782. doi :10.1109/MOBHOC.2009.5336918. ISBN 978-1-4244-5114-2. S2CID  5470548.
  4. ^ Стаббс, Роб (10 сентября 2019 г.). «Почему мир переходит на аппаратную безопасность». Fortanix . Получено 30 сентября 2022 г. .
  5. ^ Ваксман, Адам; Сетхумадхаван, Симха (2011), «Удаление аппаратных бэкдоров» (PDF) , Труды симпозиума IEEE по безопасности и конфиденциальности , Окленд, Калифорния, архив (PDF) с оригинала 28.09.2013
  6. ^ "Резервное копирование | Оставайтесь умными в сети". Архивировано из оригинала 2017-07-07.
  7. ^ "Определение маскирования данных". Архивировано из оригинала 2017-02-27 . Получено 1 марта 2016 .
  8. ^ "маскировка данных". Архивировано из оригинала 5 января 2018 года . Получено 29 июля 2016 года .
  9. ^ Майкл Вэй; Лора М. Групп; Фредерик Э. Спада; Стивен Свонсон (2011). «Надежное стирание данных с твердотельных накопителей на основе флэш-памяти». FAST'11: Труды 9-й конференции USENIX по технологиям хранения файлов . Wikidata  Q115346857 . Получено 22.11.2022 .
  10. ^ "data protection act". Архивировано из оригинала 13 апреля 2016 года . Получено 29 июля 2016 года .
  11. ^ Питер Флейшер, Джейн Хорват, Шуман Гхоземаджумдер (2008). "Celebrating data privacy". Блог Google . Архивировано из оригинала 20 мая 2011 г. Получено 12 августа 2011 г.{{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка )
  12. ^ "GDPR Penalties". Архивировано из оригинала 2018-03-31.
  13. ^ «Обнаружение и защита для цифровой трансформации». Informatica . Получено 27 апреля 2018 г.
  14. ^ "ISO/IEC 27001:2013". ISO . 16 декабря 2020 г. Получено 2022-11-03 .
  15. ^ "ISO/IEC 27002:2013". ISO . 15 апреля 2021 г. Получено 2022-11-03 .
  16. ^ "Определение PCI DSS". Архивировано из оригинала 2 марта 2016 года . Получено 1 марта 2016 года .
  17. ^ Деннинг, Дороти Э. и Питер Дж. Деннинг. «Безопасность данных». ACM computing surveys (CSUR) 11.3 (1979): 227-249.

Внешние ссылки