Pereiti prie pagrindinio turinio
„Microsoft“ sauga

Kas yra duomenų sauga?

Duomenų sauga apima žinojimą, kokius duomenis turite ir kur jie yra, bei su jūsų duomenimis susijusią riziką. Sužinokite, kaip apsaugoti savo duomenis.

Kas yra duomenų sauga

Duomenų sauga padeda apsaugoti slaptus duomenis per visą jų gyvavimo ciklą, suprasti vartotojų veiklos bei duomenų kontekstą ir užkirsti kelią neteisėtam duomenų naudojimui ar praradimui.

Šiame vis daugėjančių kibernetinės saugos ir vidinės rizikos grėsmių amžiuje duomenų sauga itin svarbi. Ji būtina norint matyti jūsų turimų duomenų tipus, užkirsti kelią neteisėtam duomenų naudojimui ir nustatyti bei sumažinti su duomenimis susijusią riziką. Kartu su duomenų sauga, duomenų saugos valdymas padeda jūsų organizacijai planuoti, tvarkyti ir valdyti duomenų saugos veiklas naudojant gerai parašytas strategijas ir procedūras.

Duomenų saugos tipai

Kad duomenų sauga būtų efektyvi, ji turi atsižvelgti į duomenų rinkinių slaptumą ir jūsų organizacijos reguliuojamuosius atitikties reikalavimus. Duomenų saugos tipai, padedantys apsisaugoti nuo duomenų pažeidimo, atitikti reguliuojamuosius reikalavimus ir apsaugoti nuo žalos jūsų reputacijai:

  • Prieigos valdymas, kuris reglamentuoja prieigą prie vietinių ir debesų technologijos pagrindu laikomų duomenų.
  • Vartotojų autentifikavimas naudojant slaptažodžius, prieigos korteles arba biometrinius duomenis.
  • Atsarginės kopijos ir atkūrimas, kad būtų galima pasiekti duomenis po sistemos gedimo, duomenų sugadinimo arba nelaimės.
  • Duomenų atkuriamumas kaip aktyvus avarinio atkūrimo ir verslo tęstinumo metodas.
  • Duomenų ištrynimas, kad būtų galima tinkamai pašalinti duomenis ir padaryti juos neatkuriamus.
  • Duomenų maskavimo programinė įranga, kuri naudoja tarpinio serverio simbolius, kad nuo neįgaliotų vartotojų paslėptų raides ir skaičius.
  • Duomenų praradimo prevencijos sprendimai, siekiant apsisaugoti nuo neteisėto slaptų duomenų naudojimo.
  • Šifravimas, kad neįgalioti vartotojai negalėtų perskaityti failų.
  • Informacijos apsauga, padedanti klasifikuoti slaptus duomenis, rastus failuose ir dokumentuose.
  • Vidinės rizikos valdymas siekiant sumažinti rizikingų vartotojų veiklą.

Duomenų tipai, kuriuos reikia apsaugoti

Visi, kuriems buvo pavogti kredito kortelės arba tapatybės duomenys, gali geriau įvertinti efektyvią duomenų apsaugą. Kenkėjiški programišiai nuolat sugalvoja būdų, kaip pavogti asmeninę informaciją ir prašyti už ją išpirkos, parduoti arba kitokią apgaulę. Be to, dabartiniai ir ankstesni darbuotojai dažnai yra duomenų praradimo priežastis, todėl vidinės rizikos valdymas yra būtinas organizacijoms.

Kiekvienas sektorius turi savo reikalavimus, ką ir kaip apsaugoti, tačiau įprasti duomenų tipai, kuriuos reikia apsaugoti, yra:

  • Asmeninė informacija apie jūsų darbuotojus ir klientus.
  • Finansiniai duomenys, pvz., kredito kortelių numeriai, banko informacija ir įmonės finansinės ataskaitos.
  • Sveikatos informacija, pvz., gautos paslaugos, diagnozės ir testų rezultatai.
  • Intelektinė nuosavybė, pvz., komercinės paslaptys ir patentai.
  • Verslo operacijų duomenys, pvz., tiekimo grandinės informacija ir gamybos procesai.

Grėsmės duomenų saugai

Darbe ir namuose internetas suteikia prieigą prie paskyrų, bendravimo ir informacijos bendrinimo bei naudojimo būdų. Dėl įvairių tipų kibernetinių atakų ir vidinės rizikos gali kilti pavojus bendrinamai informacijai.

  • Įsilaužimas

    Įsilaužimas reiškia bet kokį bandymą pavogti duomenis, sugadinti tinklus ar failus, perimti organizacijos skaitmeninę aplinką arba sutrikdyti jų duomenis ir veiklas. Įsilaužimo būdai apima sukčiavimą apsimetant, kenkėjiškas programas, kodo nulaužimą ir paskirstytosios aptarnavimo perkrovos atakas.

  • Kenkėjiškos programos

    Kenkėjiškos programos yra kirminus, virusus ir šnipinėjimo programas reiškiantis terminas, jos leidžia neįgaliotiems vartotojams pasiekti jūsų aplinką. Patekę į vidų, šie vartotojai gali sutrikdyti jūsų IT tinklą ir galinių punktų įrenginius arba pavogti kredencialus, kurie galėjo būti palikti failuose.

  • Išpirkos reikalaujančios programos

    Išpirkos reikalaujančios programos yra kenkėjiškos programos, kurios neleidžia pasiekti jūsų tinklo ir failų, kol nesumokėsite išpirkos. El. laiško priedo atidarymas ir reklaminio skelbimo spustelėjimas yra keli būdai, kuriais galima atsisiųsti išpirkos reikalaujančią programą į savo kompiuterį. Paprastai ji aptinkama, kai negalite pasiekti failų arba matote pranešimą, reikalaujantį sumokėti.

  • Sukčiavimas apsimetant

    Sukčiavimas apsimetant yra veiksmas, kuriuo siekiama priversti asmenis arba organizacijas pateikti informaciją, pvz., kredito kortelių numerius ir slaptažodžius. Norima pavogti arba sugadinti slaptus duomenis apsimetant patikima įmone, kurią auka žino.

  • Duomenų nutekėjimas

    Duomenų nutekėjimas yra tyčinis arba atsitiktinis duomenų perdavimas iš organizacijos išoriniam gavėjui. Tai galima atlikti naudojant el. paštą, internetą ir įrenginius, pvz., nešiojamuosius kompiuterius ir nešiojamuosius saugojimo įrenginius. Failai ir dokumentai, kurie paimami iš jų laikymo vietos, taip pat yra duomenų nutekėjimo forma. 

  • Aplaidumas

    Aplaidumas įvyksta tada, kai darbuotojas sąmoningai pažeidžia saugos strategiją, bet nebando padaryti žalos įmonei. Pavyzdžiui, jis gali bendrinti slaptus duomenis su bendradarbiu, kuris neturi prieigos, arba prisijungti prie įmonės išteklių naudodamas neapsaugotą belaidį ryšį. Kitas pavyzdys – leidimas kam nors įeiti į pastatą nerodant ženklelio.

  • Sukčiavimas

    Sukčiavimu užsiimu gudrūs vartotojai, kurie nori pasinaudoti interneto anonimiškumu ir pasiekiamumu realiuoju laiku. Jie gali sukurti operacijas naudodami pažeistas paskyras ir pavogtus kredito kortelių numerius. Organizacijos gali tapti garantijos, pinigų grąžinimo arba pardavėjo apgaulės auka.

  • Vagystė

    Vagystė yra vidinė grėsmė, dėl kurios gali būti pavogti duomenys, pinigai arba intelektinė nuosavybė. Tai daroma siekiant asmeninės naudos ir pakenkti organizacijai. Pavyzdžiui, patikimas tiekėjas gali parduoti klientų socialinio draudimo numerius tamsiajame žiniatinklyje arba naudoti vidinę informaciją apie klientus, kad pradėtų savo verslą.

  • Stichinės nelaimės

    Stichinės nelaimės ne visada įspėja, kad jos artėja, todėl iš anksto pasiruoškite apsaugoti savo duomenis. Nesvarbu, ar tai uraganas, žemės drebėjimas, potvynis, ar kitoks nuniokojimas, jūsų duomenų atsarginės kopijos kitoje vietoje padės užtikrinti verslo tęstinumo planą.

Duomenų saugos technologijos

Duomenų saugos technologijos yra pagrindiniai išsamesnės duomenų saugos strategijos komponentai. Galimi įvairūs duomenų praradimo prevencijos sprendimai, padedantys aptikti vidinę ir išorinę veiklą, pažymėti įtartiną arba rizikingą duomenų bendrinimo elgseną ir valdyti prieigą prie slaptų duomenų. Įdiekite tokias duomenų saugos technologijas, kad būtų išvengta slaptų duomenų eksfiltracijos.

Duomenų šifravimas. Naudokite šifravimą – duomenų pavertimą kodu – su saugomais arba perduodamais duomenims, kad neįgalioti vartotojai negalėtų peržiūrėti failo turinio, net jei gauna prieigą prie jo vietos.

Vartotojų autentifikavimas ir autorizavimas. Tikrinkite vartotojų kredencialus ir įsitikinkite, kad prieigos teisės priskirtos ir taikomos tinkamai. Vaidmenimis pagrįstas prieigos valdymas padeda jūsų organizacijai suteikti prieigą tik tiems, kam jos reikia.

Vidinės rizikos aptikimas. Aptikite veiklą, kuri gali nurodyti vidinę riziką arba grėsmes. Supraskite duomenų naudojimo kontekstą ir žinokite, kada tam tikri atsisiuntimai, el. laiškai už jūsų organizacijos ribų ir pervardyti failai nurodo įtartiną elgseną.

Duomenų praradimo prevencijos strategijos. Kurkite ir įgalinkite strategijas, apibrėžiančias, kaip tvarkomi ir bendrinami duomenys. Nurodykite įgaliotuosius vartotojus, programas ir aplinkas įvairioms veikloms, kad išvengtumėte duomenų nutekėjimo ar vagystės.

Duomenų atsarginis kopijavimas. Sukurkite tikslią savo organizacijos duomenų atsarginę kopiją, kad įgaliotieji administratoriai galėtų atkurti duomenis įvykus saugyklos gedimui, duomenų pažeidimui ar bet kokios rūšies stichinei nelaimei.

Įspėjimai realiuoju laiku. Automatizuokite pranešimus apie galimą netinkamą duomenų naudojimą ir gaukite įspėjimus apie galimas saugos problemas, kol jos dar nepakenkė jūsų duomenims, reputacijai arba darbuotojų ir klientų privatumui.

Rizikos vertinimas. Supraskite, kad darbuotojai, tiekėjai, rangovai ir partneriai turi informacijos apie jūsų duomenis ir saugos praktikas. Norėdami išvengti netinkamo naudojimo, žinokite, kokius duomenis turite ir kaip jie naudojami visoje organizacijoje.

Duomenų auditas. Išspręskite pagrindinius susirūpinimą keliančius klausimus, pvz., duomenų apsaugos, tikslumo ir pasiekiamumo, naudodami reguliariai suplanuotus duomenų auditus. Taip sužinosite, kas naudoja jūsų duomenis ir kaip jie naudojami.

Duomenų saugos valdymo strategijos

Duomenų saugos valdymo strategijos apima strategijas, procedūras ir valdymą, padedančius apsaugoti duomenis.

  • Įgyvendinkite geriausią slaptažodžių valdymo praktiką

    Įdiekite paprastą naudoti slaptažodžių valdymo sprendimą. Taip nebereikės priklijuojamų lapelių ir skaičiuoklių, o darbuotojams nereikės įsiminti unikalių slaptažodžių.
    Vietoj slaptažodžių naudokite prieigos slaptažodžius. Prieigos slaptažodį darbuotojui gali būti lengviau prisiminti ir sunkiau atspėti kibernetiniams nusikaltėliams.
    Įgalinkite dviejų dalių autentifikavimą (2FA). Naudojant 2FA, net jei buvo pažeistas prieigos slaptažodis ar įprastas slaptažodis, prisijungimo sauga išlaikoma, nes neįgaliotas vartotojas negali gauti prieigos be papildomo kodo, išsiųsto į antrą įrenginį. 
    Pakeiskite slaptažodžius po pažeidimo. Manoma, kad dažniau juos keičiant, slaptažodžiai laikui bėgant būna silpnesni.
    Venkite pakartotinai naudoti prieigos slaptažodžius arba slaptažodžius. Kai jie pažeidžiami, dažnai yra naudojami įsilaužti į kitas paskyras.

  • Sukurkite gynybos planą

    Apsaugokite slaptus duomenis. Raskite ir klasifikuokite duomenis dideliu mastu, kad žinotumėte informacijos kiekį, tipą ir vietą, kur ji būtų per visą jos gyvavimo ciklą.
    Valdykite vidinę riziką. Supraskite vartotojų veiklą ir numatomą duomenų naudojimą, kad nustatytumėte galimai rizikingą veiklą, dėl kurios gali kilti duomenų saugos incidentų.
    Nustatykite tinkamus prieigos valdymo būdus ir strategijas. Padėkite išvengti veiksmų, pvz., netinkamo slaptų duomenų įrašymo, saugojimo ar spausdinimo.

  • Naudokite šifravimą duomenims apsaugoti

    Duomenų šifravimas neleidžia neįgaliotiems vartotojams skaityti slaptų duomenų. Net jei jie gauna prieigą prie jūsų duomenų aplinkos arba mato perduodamus duomenis, duomenys yra nenaudingi, nes jų negalima lengvai perskaityti ar suprasti.

  • Įdiekite programinės įrangos ir saugos naujinimus

    Programinės įrangos ir saugos naujinimai išsprendžia žinomas spragas, kurias kibernetiniai nusikaltėliai dažnai naudoja norėdami pavogti slaptą informaciją. Nuolatinis atnaujinimas padeda pašalinti šias spragas ir apsaugoti jūsų sistemas nuo grėsmių.

  • Mokykite darbuotojus duomenų saugos

    Pagalba apsaugoti jūsų organizacijos duomenis nėra vien jūsų IT skyriaus reikalas, taip pat turite mokyti savo darbuotojus apie duomenų atskleidimą, vagystę ir sugadinimą. Geriausia duomenų saugos praktika yra susijusi su duomenimis, kurie yra internete ir spausdinami. Oficialus mokymas turėtų vykti reguliariai, kas ketvirtį, kas pusmetį arba kas metus.

  • Įgyvendinkite nuotolinio darbo saugos protokolus

    Norėdami įdiegti saugos protokolus savo nuotolinei darbo jėgai, pirmiausia paaiškinkite savo strategijas ir procedūras. Tai paprastai reiškia privalomą saugos mokymą ir nurodymą, kurias programinės įrangos programas galima naudoti ir kaip jas naudoti. Į protokolus taip pat turėtų būti įtrauktas procesas, skirtas apsaugoti visus įrenginius, kuriuos naudoja jūsų darbuotojai.

Reglamentai ir atitiktis

Organizacijos turi atitikti tam tikrus duomenų apsaugos standartų, įstatymų ir reglamentų reikalavimus. Jie apima (bet neapsiriboja) tik reikiamos informacijos iš klientų ar darbuotojų rinkimą, jos apsaugą ir tinkamą sunaikinimą. Privatumo įstatymų pavyzdžiai yra Bendrasis duomenų apsaugos reglamentas (BDAR), Sveikatos draudimo mobilumo ir atskaitomybės aktas (HIPAA) ir Kalifornijos vartotojų privatumo aktas (CCPA).

BDAR yra griežčiausias duomenų privatumo ir saugos įstatymas. Jį parengė ir priėmė Europos Sąjunga (ES), tačiau organizacijos visame pasaulyje privalo laikytis jo reikalavimų, jei jos orientuojasi arba renka asmeninius duomenis iš ES piliečių ar gyventojų arba siūlo jiems prekes ir paslaugas.

HIPAA padeda apsaugoti pacientų sveikatos informaciją nuo atskleidimo be paciento žinios ar sutikimo. HIPAA privatumo taisyklė saugo asmens sveikatos informaciją ir buvo priimta HIPAA reikalavimams įgyvendinti. HIPAA saugos taisyklė padeda apsaugoti identifikuojamą sveikatos informaciją, kurią sveikatos priežiūros paslaugų teikėjas kuria, gauna, tvarko arba perduoda elektroniniu būdu.

CCPA padeda Kalifornijos vartotojams apsaugoti teisę į privatumą, įskaitant teisę žinoti apie renkamą asmeninę informaciją ir tai, kaip ji naudojama ir bendrinama, teisę panaikinti iš jų surinktą asmeninę informaciją ir teisę atsisakyti parduoti savo asmeninę informaciją.

Duomenų apsaugos pareigūnas (DPO) yra lyderio vaidmuo, kuris seka atitiktį ir padeda užtikrinti, kad jūsų organizacija asmens duomenis tvarko pagal duomenų apsaugos įstatymus. Pavyzdžiui, jie informuoja ir pataria atitikties komandoms, kaip laikytis reikalavimų, teikia mokymus organizacijoje ir praneša apie taisyklių ir reglamentų neatitikimą.

Jei neatitikus reikalavimų atsiranda duomenų pažeidimas, tai dažnai organizacijoms kainuoja milijonus dolerių. Tai gali baigtis tapatybės vagyste, prarastu produktyvumu ir klientų išėjimu.

Išvada

Duomenų sauga ir duomenų saugos valdymas padeda nustatyti ir įvertinti grėsmes jūsų duomenims, laikytis reguliuojamųjų reikalavimų ir išlaikyti duomenų vientisumą.

Įsipareigokite dažnai kurti atsargines duomenų kopijas, saugoti atsarginę kopiją kitoje vietoje, nustatyti duomenų saugos valdymo strategijas ir taikyti sudėtingus slaptažodžius arba prieigos slaptažodžius ir 2FA.

Veiksmai, kuriais siekiama apsaugoti duomenis jų gyvavimo ciklo metu, suprasti, kaip naudojami duomenys, užkirsti kelią duomenų nutekėjimui ir sukurti duomenų praradimo prevencijos strategijas, yra labai svarbus veiksnys siekiant sukurti stiprią gynybą savo organizacijoje.

Sužinokite, kaip apsaugoti savo duomenis debesyse, programose ir galiniuose punktuose naudojant duomenų saugos procedūras ir įrankius.

Sužinokite daugiau apie „Microsoft“ saugą

Microsoft Purview

Susipažinkite su valdymo, apsaugos ir atitikties sprendimais, skirtais jūsų organizacijos duomenims.

Padėkite išvengti duomenų praradimo

Identifikuokite netinkamą slaptų duomenų bendrinimą arba naudojimą galiniuose punktuose, programose ir tarnybose.

Valdykite vidinę riziką

Sužinokite, kaip nustatyti galimą riziką darbuotojų ir tiekėjų veikloje.

Informacijos apsauga

Atraskite, klasifikuokite ir apsaugokite slapčiausius duomenis savo skaitmeniniame turte.

Dažnai užduodami klausimai

  • Duomenų sauga padeda apsaugoti slaptus duomenis per visą jų gyvavimo ciklą, suprasti vartotojų veiklos bei duomenų kontekstą ir užkirsti kelią neteisėtam duomenų naudojimui. Tai apima žinojimą, kokius duomenis turite ir kur jie yra, bei su tais duomenimis susijusių grėsmių nustatymą.

  • Duomenų saugos tipai:

    • Prieigos valdymas reikalaujant vietinių ir debesų technologijos pagrindu laikomų duomenų prisijungimo kredencialų.
    • Vartotojų autentifikavimas naudojant slaptažodžius, prieigos korteles arba biometrinius duomenis.
    • Atsarginės kopijos ir atkūrimas, kad būtų galima pasiekti duomenis po sistemos gedimo, duomenų sugadinimo arba nelaimės.
    • Duomenų atkuriamumas kaip aktyvus avarinio atkūrimo ir verslo tęstinumo metodas.
    • Duomenų ištrynimas, kad būtų galima tinkamai pašalinti duomenis ir padaryti juos neatkuriamus.
    • Duomenų maskavimo programinė įranga, kuri naudoja tarpinio serverio simbolius, kad nuo neįgaliotų vartotojų paslėptų raides ir skaičius.
    • Duomenų praradimo prevencijos sprendimai, siekiant apsisaugoti nuo neteisėto slaptų duomenų naudojimo.
    • Šifravimas, kad neįgalioti vartotojai negalėtų perskaityti failų.
    • Informacijos apsauga, padedanti klasifikuoti slaptus duomenis, rastus failuose ir dokumentuose.
    • Vidinės rizikos valdymas siekiant sumažinti rizikingų vartotojų veiklą.
  • Duomenų saugos pavyzdys yra naudojimas technologijų, skirtų sužinoti, kur yra slapti duomenys jūsų organizacijoje, ir žinojimas, kaip jie pasiekiami ir naudojami.

  • Duomenų sauga yra svarbi, nes ji padeda jūsų organizacijai apsisaugoti nuo kibernetinių atakų, vidinių grėsmių ir žmogaus klaidų, nes visi šie dalykai gali sukelti duomenų pažeidimų.

  • Keturi pagrindiniai duomenų saugos klausimai yra konfidencialumas, vientisumas, pasiekiamumas ir atitiktis.

Stebėkite „Microsoft 365“