Trace Id is missing
Преминаване към основното съдържание
Microsoft Security

Какво представлява защитата на данните?

Научете как да защитавате данните си независимо къде се намират, и как да управлявате чувствителни и критични за бизнеса данни във вашата среда.

Дефиниране на защитата на данните

Защитата на данните се отнася за стратегии и процеси за защита, които помагат за защитата на чувствителните данни срещу повреда, компрометиране и загуба. Заплахите за чувствителните данни включват пробиви в данните и инциденти със загуба на данни.

Пробив в данните е резултат от неупълномощен достъп до информацията, мрежата или устройствата на вашата организация от източници като кибератака, вътрешни заплахи или човешка грешка. В допълнение към изгубените данни, вашата организация може да бъде глобена за нарушения на съответствието, да се сблъска с правни действия за разкрита лична информация и да претърпи дългосрочни щети, свързани с репутацията на вашата марка.

Инцидент със загуба на данни е умишлено или случайно прекъсване на обичайните операции на организацията ви – например лаптоп е загубен или откраднат, повреден е софтуер или компютърен вирус е проникнал във вашата мрежа. Наличието на правила за защита и обучението на вашите служители за разпознаване на заплахи и как да реагират – или да не реагират – е от решаващо значение за вашата стратегия за защита на данните.

Основни принципи на защитата на данните

Двата основни принципа за защита на данните са наличността на данни и управлението на данни.

Наличността на данни дава възможност на служителите да осъществяват достъп до данните, които са им необходими за ежедневните операции. Поддържането на наличността на данните допринася за непрекъсваемостта на работата и плана за аварийно възстановяване на вашата организация, който е важен елемент от вашия план за защита на данните, който разчита на архивни копия, съхранявани в отделно местоположение. Достъпът до тези копия намалява времето на прекъсване на работата за вашите служители и поддържа извършването на работата им по план.

Управлението на данни включва управление на жизнения цикъл на данните и управление на жизнения цикъл на информацията.

  • Управлението на жизнения цикъл на данните обхваща създаването, съхранението, използването и анализа на данните и тяхното архивиране или премахване. Жизненият цикъл помага да се гарантира, че вашата организация спазва съответните разпоредби и че не съхранявате данните ненужно.
  • Управлението на жизнения цикъл на информацията е стратегия за каталогизиране и съхраняване на информацията, извлечена от наборите от данни на вашата организация. Целта му е да определи колко подходяща и точна е информацията.

Защо защитата на данните е важна?

Защитата на данните е важна за защитата на вашата организация от кражба, изтичания и загуба на данни. Това включва използване на правила за поверителност, които отговарят на нормативните разпоредби за съответствие и предотвратяват щети за репутацията на вашата организация.

Стратегията за защита на данните включва наблюдение и защита на данните във вашата среда и поддържане на непрекъснат контрол върху видимостта и достъпа до данните.

Разработването на правила за защита на данните позволява на вашата организация да определи допустимия риск за всяка категория данни и да спазва приложимите разпоредби. Тези правила също ви помагат да установите удостоверяване и упълномощаване – като определите кой до каква информация трябва да има достъп и защо.

Типове решения за защита на данните

Решенията за защита на данните ви помагат да следите вътрешната и външната дейност, да маркирате с флаг подозрително или рисково поведение при споделяне на данни и да управлявате достъпа до чувствителните данни.

  • Защита от загуба на данни

    Защита от загуба на данниЗащита от загуба на данни е решение за защита, което помага на вашата организация да предотврати споделянето, прехвърлянето или използването на чувствителни данни чрез действия като наблюдение на чувствителната информация във вашето имущество от данни. Също така ви помага да се уверите, че спазвате нормативните изисквания – като например Закон за защита и достъп до медицинските данни на пациентите (HIPAA) (HIPAA) и Общ регламент относно защитата на данните (ОРЗД) на Европейския съюз (ЕС).

  • Репликация

    Репликацията непрекъснато копира данни от едно местоположение в друго, за да създаде и съхрани актуално копие на вашите данни. Това позволява преместване при отказ на тези данни, в случай че основната ви система се срине. Освен че ви защитава от загуба на данни, репликацията прави данните достъпни от най-близкия сървър, така че упълномощените потребители да имат достъп до тях по-бързо. Наличието на пълно копие на данните на вашата организация също така дава възможност на екипите ви да извършват анализ, без да се пречи на ежедневните нужди, свързани с данни.

  • Място за съхранение с вградена защита

    Решението за съхранение трябва да предоставя защита на данните, но също така да ви позволява да възстановявате данни, които са били изтрити или променени. Например няколко нива на дублиране помага при защитата на вашите данни от неща като прекъсвания на услугите, хардуерни проблеми и природни бедствия. Създаването на версии запазва предишните състояния на вашите данни, когато операция за заместване създава нова версия. Конфигурирайте заключване – например „само за четене“ или „не може да се изтрива“ – във вашите акаунти за съхранение, за да ги защитите от случайно или злонамерено изтриване.

  • Защитни стени

    Защитната стена помага да се гарантира, че само упълномощени потребители имат достъп до данните на вашата организация. Тя работи чрез наблюдение и филтриране на мрежовия трафик според вашите правила за защита и помага за блокиране на заплахи като вируси и опити за рансъмуер. Настройките на защитната стена обикновено включват опции за създаване на правила за входящи и изходящи, задаване на правила за защита на връзката, преглед на регистрационните файлове от наблюдението и получаване на известия, когато защитната стена е блокирала нещо.

  • Откриване на данни

    Откриването на данни е процесът на намиране какви набори от данни съществуват във вашата организация в центровете за данни, лаптопите и настолните компютри, различните мобилни устройства и на платформите в облака. Следващата стъпка е да категоризирате данните си (например да ги маркирате като ограничени, лични или публични) и да се уверите, че съответстват на нормативните изисквания.

  • Удостоверяване и упълномощаване

    Контролите за удостоверяване и упълномощаване проверяват потребителските идентификационни данни и потвърждават, че привилегиите за достъп са зададени и приложени правилно. Управлението на достъпа, основано на роли е един пример за предоставяне на достъп само на хората, които се нуждаят от него, за да вършат работата си. Може да се използва заедно с управлението на самоличности и достъп, за да се помогне за контрола на това, до което служителите могат и до което не могат да осъществяват достъп, за да се запазят ресурсите на вашата организация – като например приложения, файлове и данни – по-защитени.

  • Архивиране

    Архивните копия попадат в категорията на управлението на данни. Те могат да бъдат създавани толкова често, колкото е необходимо (например пълни архивни копия всяка нощ и постъпково архивиране през целия ден) и ви позволяват бързо да възстановявате изгубени или повредени данни, за да намалите времето на прекъсване на работата. Типична стратегия за архивиране включва записване на няколко копия на вашите данни и съхраняване на пълен набор от копия на отделен сървър и друг във външно местоположение. Вашата стратегия за архивиране ще се съгласува с вашия план за аварийно възстановяване.

  • Шифроване

    Шифроването помага за поддържане на защитата, поверителността и целостта на вашите данни. Използва се за данни, които са в покой или в движение, за да се предотврати преглеждането на съдържанието на даден файл от неупълномощени потребители дори ако получат достъп до местоположението му. Обикновеният текст се преобразува в нечетлив шифрован текст (с други думи данните се конвертират в код), който изисква ключ за дешифриране, за да бъде прочетен или обработен.

  • Аварийно възстановяване

    Аварийното възстановяване е елемент на защитата на информацията (InfoSec), който се фокусира върху начина, по който организациите използват архивни копия за възстановяване на данни и връщане към нормални работни условия след авария (например природно бедствие, неизправност на оборудване в голям мащаб или кибератака). Това е проактивен подход, който помага на вашата организация да намали въздействието на непредсказуеми събития и да реагира по-бързо на планирани или непланирани прекъсвания.

  • Защита на крайни точки

    Крайните точки са физически устройства, които се свързват към мрежа, като например мобилни устройства, настолни компютри, виртуални машини, вградени устройства и сървъри. Защитата на крайните точки помага на вашата организация да следи тези устройства и да ги защитава срещу действащи лица в заплахи, които търсят уязвимости или човешки грешки и се възползват от уязвимостите на защитата.

  • Статични копия на данни

    Статичното копие на данни е изглед на вашата файлова система в определен момент от време; то запазва този изглед и проследява всички промени, направени след тази точка. Това решение за защита на данните препраща към масиви за съхранение, които използват колекция от дискове вместо сървъри. Масивите обикновено създават каталог, който сочи към местоположението на данните. Статичното копие на данни копира даден масив и задава данните като „само за четене“. В каталога се създават нови записи, а старите каталози се запазват. Статичните копия на данни включват и системни конфигурации за възстановяване на сървъри.

  • Изтриване на данни

    Изтриването изтрива съхранените данни, от които вашата организация вече не се нуждае. Този процес често е нормативно изискване. Съгласно ОРЗД физическите лица имат право личните им данни да бъдат изтрити при поискване. Това право на изтриване също се нарича „право да бъдат забравени“.

Защита, сигурност и поверителност

Те може да изглеждат като взаимозаменяеми термини, но защитата на данните, сигурността на данните и поверителността на данните имат различна цел. Защитата на данните включва стратегиите и процесите, които вашата организация използва, за да защити чувствителните данни срещу повреда, компрометиране и загуба. Сигурността на данните се занимава с целостта на вашите данни и работи, за да ги защити от повреда от неупълномощени потребители или вътрешни заплахи. Поверителността на данните контролира кой има достъп до вашите данни и определя какво може да се споделя с трети лица.

Най-добри практики за защита на данните

Най-добрите практики за защита на данните се състоят от планове, правила и стратегии, които да ви помогнат да контролирате достъпа до вашите данни, да наблюдавате дейността в мрежата и използването и да отговаряте на вътрешни и външни заплахи.

  • Бъдете в крак с изискванията

    Изчерпателен план за управление идентифицира нормативните изисквания и начина, по който те се прилагат към данните на вашата организация. Проверете дали имате видимост за всички ваши данни, и ги класифицирайте правилно. Уверете се, че сте в съответствие с разпоредбите за поверителност за вашия отрасъл.

  • Ограничаване на достъпа

    Управлението на достъпа използва удостоверяване, за да провери дали потребителите са тези, които казват, и упълномощаване, за да определи каква информация им е позволено да виждат и използват. В случай на пробив в данните управлението на достъпа е едно от първите правила, което трябва да бъде проверено, за да се определи дали е внедрено и поддържано правилно.

  • Създаване на правила за киберсигурност

    Правилата киберсигурност дефинират и направляват ИТ дейностите в рамките на вашата организация. Те информират служителите за често срещани заплахи за вашите данни и им помагат да бъдат по-бдителни за безопасността и сигурността. Те могат също така да изясняват вашите стратегии за защита на данните и да популяризират културата на отговорно използване на данните.

  • Наблюдение на дейността

    Текущото наблюдение и тестване ви помагат да идентифицирате области с потенциален риск. Използвайте ИИ и автоматизирайте своите задачи за наблюдение на данни, за да откривате бързо и ефективно заплахите. Тази система за ранно предупреждение ви предупреждава за потенциални проблеми с данните и защитата, преди те да могат да причинят вреда.

  • Разработване на план за реакция при инциденти

    Наличието на план за реакция при инциденти преди възникването на пробив в данните ще ви подготви да предприемете действие. Той ще помогне на екипа за реагиране (например ръководителя на ИТ отдела, защитата за информацията и ръководителя на комуникациите) да поддържа целостта на вашите системи и да върне вашата организация към работа възможно най-бързо.

  • Идентифициране на рисковете

    Служителите, доставчиците, изпълнителите или партньорите имат информация за вашите данни, компютърни системи и практики за защита. За да идентифицирате неупълномощен достъп до данни и да ги защитите от злоупотреба, трябва да знаете какви данни имате и как се използват във вашето цифрово имущество.

  • Подобряване на защитата на мястото за съхранение на данни

    Защитата на мястото за съхранение на данни използва методи като управление на достъпа, шифроване и защита на крайни точки, за да поддържа целостта и поверителността на вашите съхранени данни. Тя също така намалява риска от умишлено или неволно повреждане и позволява непрекъсната наличност на вашите данни.

  • Обучаване на вашите служители

    Независимо дали умишлени, или не, вътрешните рискове са водеща причина за пробиви в данните. Ясно разяснете вашите правила за защита на данните на всички нива, за да помогнете на служителите да спазват изискванията. Често повтаряйте обучението със сесии за опресняване и указания, когато възникнат конкретни проблеми.

Съответствие с изискванията за защита на данните и закони

Всяка организация трябва да спазва съответните стандарти, закони и разпоредби за защита на данните. Правните задължения включват, но не се ограничават до, събиране само на информацията, която ви трябва, от клиенти или служители, запазване на безопасността ѝ и правилното ѝ премахване. Следват примери за закони за поверителност.

ОРЗД е най-строгият закон за поверителност и защита на данните. Той е изготвен и приет от ЕС, но организациите по целия свят са задължени да спазват изискванията, ако са насочени към или събират лични данни от граждани или жители на ЕС или им предлагат стоки и услуги.

California Consumer Privacy Act (CCPA) помага за защитата на правата за поверителност за потребителите в Калифорния, включително правото да знаят каква лична информация всяка фирмата събира и как тя се използва и споделя, правото на изтриване на лични данни, събрани от тях, и правото на отписване от продажбата на личните им данни.

HIPAA помага да се защити здравната информация за пациентите от разкриване без знанието или съгласието на пациента. Правилото за поверителност на HIPAA защитава личната здравна информация и е издадено с цел прилагане на изискванията на HIPAA. Правилото за защита на HIPAA помага за защитата на личната здравна информация, която доставчикът на здравни услуги създава, получава, поддържа или предава по електронен път.

Законът Gramm-Leach-Bliley (GLBA) – известен също като Закон за модернизиране на финансовите услуги от 1999 г. – изисква от финансовите институции да обясняват своите практики за споделяне на информация на клиентите и да защитават чувствителните данни.

Федералната комисия по търговия е основният орган за защита на потребителите в САЩ. Законът на Федералната комисия по търговия декларира като незаконни всички нелоялни методи на конкуренция и нелоялни или заблуждаващи действия или практики, засягащи търговията.

С развитието на стратегиите и процесите има някои тенденции в защитата на данните, за които вашата организация трябва да е информирана. Те включват съответствие с нормативните изисквания, управление на риска и преносимост на данните.

  • Още разпоредби за защита на данните

    ОРЗД стана показател за начина, по който други страни събират, разкриват и записват лични данни. След въвеждането си, CCPA в САЩ (Калифорния) и Общият закон за защита на личните данни в Бразилия влязоха в действие, за да бъдат в крак с разпространението на онлайн консуматорството и персонализираните продукти и услуги.

  • Защита на мобилните данни

    Предотвратяването на достъпа на неупълномощени потребители до вашата мрежа включва защита на чувствителните данни, съхранявани на преносими устройства, като лаптопи, таблети и смартфони. Софтуерът за защита използва проверка на самоличността, за да предотврати компрометиране на устройства.

  • По-малко достъп за трети лица

    Пробивите в данните често могат да бъдат проследени до трети лица (като например доставчици, партньори и доставчици на услуги), които имат твърде много достъп до мрежата и данните на организацията. Управлението на риска от трети лица намира своето място в разпоредбите за съответствие, за да ограничи начина, по който те получават достъп и използват данни.

  • Управление на копия

    Управлението на копия открива дублирани данни, сравнява подобни данни и позволява на вашата организация да изтрива неизползвани копия на вашите данни. Това решение намалява несъответствията, причинени от дублирани данни, намалява разходите за съхранение и помага за поддържане на защитата и съответствието.

  • Преносимост на данни

    В ранните дни на компютърните услуги в облака преносимостта на данните и мигрирането на големи набори от данни към други среди беше трудна. Днес технологията в облака прави данните по-преносими, което позволява на организациите да ги преместват между различни среди; например от локални центрове за данни в публични облаци или между доставчици на услуги в облака.

  • Аварийното възстановяване като услуга

    Аварийното възстановяване като услуга помага на организациите от всякакъв размер да използват рентабилни услуги в облака, за да възпроизвеждат своите системи и да възстановяват работата след катастрофално събитие. То предлага гъвкавостта и мащабируемостта на технологията, базирана на облака, и се разглежда като ефективно решение за избягване на прекъсвания на услугите.

Откриване и класификация на данни

Откриването на данни и класификацията на данни са отделни процеси, които работят заедно, за да предоставят видимост за данните на вашата организация. Инструментът за откриване на данни сканира цялото ви цифрово имущество, за да открие къде се намират структурираните и неструктурираните данни, което е от решаващо значение за вашата стратегия за защита на данните. Класификацията на данни организира данните от процеса на откриване на данни въз основа на типа на файла, съдържанието и други метаданни; помага за премахването на дублираните данни; и улеснява намирането и извличането на данни.

Незащитените данни са уязвими данни. Това, че знаете какви данни имате и къде се намират, ви помага да ги защитите, като същевременно се придържате към регулаторните изисквания за съответствие, свързани с процесите и контролите за данни.

Решения за защита на данните

Решенията за защита на данните помагат за предпазване от загуба на данни и включват защита, архивиране на данни и възстановяване, които директно поддържат плана за аварийно възстановяване на вашата организация.

Опростете начина, по който вашата организация разбира своите чувствителни данни. Получете видимост за всичките си данни; получете по-мощна защита в различни приложения, облаци и устройства; и управлявайте регулаторните изисквания с решенията на Microsoft Security.

Научете повече за Microsoft Security

Microsoft Purview

Прегледайте решенията за управление, защита и съответствие на данните на вашата организация.

Научете повече

Защита от загуба на данни

Идентифицирайте неподходящо споделяне, прехвърляне или използване на чувствителни данни в крайни точки, приложения и услуги.

Научете повече

Защита на информацията

Защитавайте и управлявайте данните си с вградени, интелигентни, единни и разширяеми решения.

Научете повече

Съответствие за комуникации

Използвайте машинно обучение, за да откривате нарушения в комуникацията.

Научете повече

Често задавани въпроси

  • Примерите за защита на данните включват защита срещу злонамерени или случайни щети, стратегия за аварийно възстановяване и ограничаване на достъпа само до тези, които се нуждаят от данните.

  • Целта на защитата на данните е да защити данните на вашата организация от компрометиране, вреди и загуба.

  • ОРЗД посочва, че хората имат основни права и свободи, когато става въпрос за защитата на техните лични данни. Всяка организация, която събира лични данни, трябва да получи изрично съгласие от хората и трябва да бъде прозрачна за начина, по който ще се използват тези данни.

  • Инструментите за защита на данните включват откриване и наличност на данните, шифроване, изтриване на данни, управление на достъпа и защита на крайни точки.

  • За да защитават данните, фирмите могат да започнат, като установят правила за защита, които определят неща като одобрено използване и съобщаване за инциденти. Архивирането на критични данни, поддържането на софтуера актуален и обучаването на служителите за защитата на данните са други важни действия, които трябва да предприемете.

Следвайте Microsoft 365