Mi az adatvédelem?
Megtudhatja, hogyan védheti meg az adatait, bárhol is tárolja őket, és miként kezelheti a bizalmas és üzletileg kritikus adatokat a teljes környezetében.
Az adatvédelem meghatározása
Az adatvédelem olyan biztonsági stratégiákat és folyamatokat jelent, amelyek segítenek a bizalmas adatok sérülés, visszaélés és veszteség elleni védelmében. A bizalmas adatokkal kapcsolatos fenyegetések közé tartoznak az adatbiztonsági incidensek és az adatvesztési incidensek.
Az adatszivárgások a szervezet információihoz, hálózatához vagy eszközeihez különböző forrásokból, például egy kibertámadásból, belső veszélyforrásból vagy emberi hibából eredő jogosulatlan hozzáférés következtében történnek. Az adatvesztésen kívül a szervezete megfelelőségi szabálysértésekkel járó bírságokat is kaphat, jogi eljárást indíthatnak ellene a felfedett személyes adatok ügyében, és hosszú távú károkat szenvedhet a márka jó hírét illetően.
Az adatvesztési incidensek a szokásos szervezeti ügymenet szándékos vagy véletlen megszakítását jelentik – például egy laptop elveszítése vagy ellopása, egy szoftver megsérülése vagy a hálózat számítógépes vírussal való megfertőződése esetén fordulnak elő. Az adatvédelmi stratégia szempontjából kritikus fontosságú, hogy az alkalmazottak felismerjék a fenyegetéseket, és a megfelelő módon reagáljanak – vagy ne reagáljanak – rájuk.
Az adatvédelem fő alapelvei
Az adatvédelem két fő alapelve az adatok rendelkezésre állása és az adatkezelés.
Az adatok rendelkezésre állása lehetővé teszi az alkalmazottak számára a napi műveletekhez szükséges adatok elérését. Az adatok rendelkezésre állásának fenntartása hozzájárul a szervezet üzletmenet-folytonossági és vészhelyreállítási tervéhez, amely fontos eleme annak az adatvédelmi tervnek, amely a külön helyen tárolt biztonsági másolatokon alapul. Az ezekhez a példányokhoz való hozzáférés minimálisra csökkenti az alkalmazottak állásidejét, és zökkenőmentessé teszi számukra a munkát.
Az adatkezelés az adatok és az információk életciklus-menedzsmentjét foglalja magában.
- Az adatéletciklus-menedzsment az adatok létrehozását, tárolását, használatát és elemzését, valamint archiválását és selejtezését fedi le. Ez az életciklus segít gondoskodni arról, hogy a szervezet megfeleljen a vonatkozó előírásoknak, és arról is, hogy Ön ne tároljon feleslegesen adatokat.
- Az életciklus-menedzsment a szervezet adathalmazaiból származó információk katalogizálására és tárolására szolgáló stratégia. A célja annak meghatározása, hogy mennyire relevánsak és pontosak az információk.
Miért fontos az adatvédelem?
Az adatvédelem fontos a szervezet adatlopás, adatszivárgás és adatvesztés elleni védelmének biztosításához. Többek között olyan adatvédelmi szabályzatok használatát írja elő, amelyek teljesítik a megfelelőségi előírásokat, és megakadályozzák a szervezet jó hírnevének sérülését.
Az adatvédelmi stratégia magában foglalja a környezetében megtalálható adatok monitorozását és védelmét, valamint az adatok láthatóságának és hozzáférésének folyamatos szabályozását.
Az adatvédelmi szabályzatok kialakítása lehetővé teszi a szervezet számára, hogy minden adatkategória esetében meghatározza a kockázattűrését, és megfeleljen a vonatkozó szabályozásoknak. Ez a szabályzat a hitelesítés és az engedélyezés kialakításában is segít, azaz annak meghatározásában, hogy kinek milyen információkhoz és miért kell hozzáférnie.
Adatvédelmi megoldások típusai
Az adatvédelmi megoldások segítségével figyelheti a belső és a külső tevékenységeket, megjelölheti a gyanús vagy kockázatos adatmegosztási viselkedést, és szabályozhatja a bizalmas adatokhoz való hozzáférést.
-
Adatveszteség-megelőzés
Az adatveszteség-megelőzés olyan biztonsági megoldás, amely segít a szervezetének megakadályozni a bizalmas adatok megosztását, átvitelét vagy használatát olyan műveletek révén, mint amilyen például a bizalmas adatok teljes adatparkban való figyelése. Emellett segít biztosítani a jogszabályi követelményeknek – például az egészségügyi biztosítás hordozhatóságáról és felelősségre vonhatóságáról szóló határozatnak (HIPAA) és az Európai Unió (EU) Általános adatvédelmi rendeletének (GDPR) – való megfelelést.
-
Replikáció
A replikáció folyamatosan adatokat másol egyik helyről a másikra az adatok naprakész példányának létrehozása és tárolása érdekében. Lehetővé teszi az adatok feladatátvételét abban az esetben, ha az elsődleges rendszer leállna. Az adatvesztés elleni védelem mellett a replikáció a legközelebbi kiszolgálóról teszi elérhetővé az adatokat, így az arra jogosult felhasználók gyorsabban hozzájuk férhetnek. A szervezete adatainak teljes körű másolatának köszönhetően a csapatok a mindennapi adatszükségletek befolyásolása nélkül végezhetnek elemzéseket.
-
Tárolás beépített védelemmel
A tárolási megoldásnak gondoskodnia kell az adatvédelemről, de a törölt vagy módosított adatok helyreállításának lehetőségét is biztosítania kell. A többszintes redundancia például segít megvédeni az adatokat többek között a szolgáltatáskimaradásoktól, a hardverproblémáktól és a természeti katasztrófáktól. A verziószámozás megőrzi az adatok korábbi állapotát, amikor egy felülírási művelet új verziót hoz létre. Zárolást – például csak olvasható vagy nem törölhető – konfigurálhat a tárfiókjain abból a célból, hogy megvédje őket a véletlen vagy kártékony törlés ellen.
-
Tűzfalak
A tűzfal segít gondoskodni arról, hogy csak a jogosult felhasználók férhessenek hozzá a szervezete adataihoz. Úgy működik, hogy a biztonsági szabályoknak megfelelően figyeli és szűri a hálózati forgalmat, és segít blokkolni az olyan fenyegetéseket, mint amilyenek például a vírusok és a zsarolóprogramok kísérletei. A tűzfalbeállítások általában a bejövő és kimenő szabályok létrehozásával, a kapcsolatbiztonsági szabályok megadásával, a figyelési naplók megtekintésével és az abban az esetben érkező értesítések fogadásával kapcsolatos lehetőségeket tartalmazzák, ha a tűzfal blokkolt valamit.
-
Adatfeltárás
Az adatfeltárás az a folyamat, amely meghatározza, hogy milyen adatkészletek léteznek a szervezetében lévő adatközpontokban, laptopokon és asztali számítógépeken, különböző mobileszközökön és felhőplatformokon. A következő lépés az adatok kategorizálása (például korlátozottként, privátként vagy nyilvánosként való megjelölés) és annak ellenőrzése, hogy megfelelnek-e a jogszabályoknak.
-
Hitelesítés és engedélyezés
A hitelesítési és engedélyezési vezérlők ellenőrzik a felhasználói hitelesítő adatokat, és meggyőződnek arról, hogy a hozzáférési jogosultságok helyesen vannak kiosztva és alkalmazva. A szerepköralapú hozzáférés-vezérlés például csak azoknak a személyeknek biztosít hozzáférést, akiknek szükségük van rá a feladataik elvégzéséhez. Az identitás- és hozzáférés-kezeléssel együtt használva szabályozhatja, hogy az alkalmazottak mihez férhetnek hozzá és mihez nem, és így nagyobb biztonságban tarthatja a szervezet erőforrásait – például az alkalmazásokat, a fájlokat és az adatokat.
-
Biztonsági mentés
A biztonsági mentések az adatkezelés kategóriájába esnek. Ezek tetszés szerinti gyakoriságúak lehetnek (például teljes körű biztonsági mentések minden éjjel, illetve növekményes biztonsági mentések egész nap), és lehetővé teszik az elveszett vagy sérült adatok gyors visszaállítását az állásidő minimalizálása érdekében. A biztonsági mentési stratégiáknak általában része az adatok több példányának mentése, valamint egy teljes példánykészlet külön kiszolgálón, illetve egy másik példánykészlet külső helyen való tárolása. A biztonsági mentési stratégia igazodik a vészhelyreállítási tervhez.
-
Titkosítás
A titkosítás segít fenntartani az adatok biztonságát, titkosságát és integritását. Az inaktív vagy mozgásban lévő adatokon használatos annak megakadályozására, hogy jogosulatlan felhasználók megtekinthessék a fájlok tartalmát, még akkor is, ha hozzáférnek a fájlok helyéhez. A nem titkosított szöveget olvashatatlan titkosított szöveggé alakítja át (vagyis az adatok kóddá alakítja), így a szöveg elolvasásához vagy feldolgozásához visszafejtési kulcsra van szükség.
-
Vészhelyreállítás
A vészhelyreállítás az információbiztonság (InfoSec) egyik eleme, amely arra összpontosít, hogy a szervezetek hogyan használják a biztonsági másolatokat az adatok visszaállítására és a normál működési körülményekhez való visszatérésre valamilyen katasztrófa (például természeti katasztrófa, nagy méretű berendezések meghibásodása vagy kibertámadás) után. Ez egy proaktív megközelítés, amely segít a szervezetének enyhíteni a kiszámíthatatlan események hatását, és gyorsabban reagálni a tervezett vagy nem tervezett megszakításokra.
-
Végpontvédelem
A végpontok olyan fizikai eszközök, például mobileszközök, asztali számítógépek, virtuális gépek, beágyazott eszközök és kiszolgálók, amelyek egy hálózathoz vannak csatlakoztatva. Az Endpoint Protection segítségével a szervezet figyelheti ezeket az eszközöket, és védekezhet a biztonsági réseket vagy emberi hibákat kereső, illetve a biztonsági hiányosságokat kihasználó fenyegetések ellen.
-
Pillanatképek
A pillanatképek a fájlrendszer egy adott időpontban érvényes nézetei. Ezt a nézetet a rendszer megőrzi, és nyomon követi a pillanatkép készítésének időpontja után történő módosításokat. Ez az adatvédelmi megoldás olyan tárolótömbökre hivatkozik, amelyek kiszolgálók helyett meghajtók gyűjteményét használják. A tömbök általában olyan katalógust hoznak létre, amely az adatok helyére mutat. A pillanatképek egy tömböt másolnak, és írásvédettre állítják az adatokat. Új bejegyzések jönnek létre a katalógusban, a régi katalógusok pedig megőrződnek. A pillanatképek továbbá a kiszolgálók helyreállítására szolgáló rendszer-konfigurációkat is tartalmaznak.
-
Adattörlés
Az adattörléssel törölhetők azok a tárolt adatok, amelyekre a szervezetének már nincs szüksége. Az adattörlés gyakran jogszabályi követelmény. A GDPR rendelkezései szerint a magánszemélyeknek jogukban áll, hogy kérésre töröltessék a személyes adataikat. Ez a törlési jog az „elfeledtetéshez való jog” néven is ismert.
Védelem, biztonság és adatvédelem
Ezek felcserélhető kifejezéseknek tűnhetnek, de a védelem, az adatbiztonság és az adatvédelem más-más célokat szolgál. Az adatok védelme olyan biztonsági stratégiákat és folyamatokat jelent, amelyekkel a szervezet megvédheti a bizalmas adatokat a sérülések, a visszaélések és az adatelvesztések ellen. Az adatbiztonság az adatok integritásával foglalkozik, és gondoskodik az illetéktelen felhasználók vagy belső fenyegetések általi sérülések elleni védelemről. Az adatvédelem azt szabályozza, hogy kik férhetnek hozzá az Ön adataihoz, és meghatározza, hogy milyen tartalmakat lehet megosztani harmadik felekkel.
Ajánlott adatvédelmi eljárások
Az adatvédelmi ajánlott eljárások olyan csomagokból, szabályzatokból és stratégiákból állnak, amelyek segítségével szabályozhatja az adatokhoz való hozzáférést, figyelheti a hálózati és a használati tevékenységeket, és reagálhat a belső és a külső fenyegetésekre.
-
A követelményekkel kapcsolatos tudás naprakészen tartása
Az átfogó szabályozási terv meghatározza a szabályozási követelményeket, és azt is, hogy ezek a követelmények hogyan vonatkoznak a szervezet adataira. Ellenőrizze, hogy az összes adatára vonatkozóan rendelkezik-e láthatósággal, és osztályozza őket a megfelelő módon. Győződjön meg arról, hogy megfelel az iparág adatvédelmi előírásainak.
-
Hozzáférés korlátozása
A hozzáférés-vezérlés hitelesítést alkalmazva ellenőrzi, hogy a felhasználók valóban azok-e, akiknek mondják magukat, engedélyezés útján pedig meghatározza, hogy milyen információk megtekintésére és használatára jogosultak. Adatszivárgás esetén a hozzáférés-vezérlés az elsők között vizsgálandó szabályzat, amely során meg kell állapítani, hogy a szabályzat megfelelően lett-e implementálva és karbantartva.
-
Kiberbiztonsági házirend létrehozása
A kiberbiztonsági szabályzat meghatározza és irányítja a szervezeten belüli informatikai tevékenységeket. Tájékoztatja az alkalmazottakat az adatokkal kapcsolatos gyakori fenyegetésekről, és segít nekik abban, hogy jobban oda tudjanak figyelni a biztonságra. Emellett arra is alkalmas, hogy világossá tegyék vele az adatvédelmi stratégiákat, és elősegítse a felelős adathasználat kultúráját.
-
Tevékenységek figyelése
A folyamatos monitorozás és tesztelés segít azonosítani a potenciális kockázatot jelentő területeket. A mesterséges intelligenciával automatizálhatja az adatmonitorozási feladatokat a fenyegetések gyors és hatékony észleléséhez. Ez a korai figyelmeztető rendszer még az előtt figyelmezteti a potenciális adat- és biztonsági problémákra, hogy azok kárt okozhatnának.
-
Incidenskezelési terv kialakítása
Jobban felkészülhet az elvégzendő lépésekre, ha az incidensmegoldási terv már az adatszivárgás bekövetkezése előtt érvényben van. Ez segít az elhárítási csapatnak (például az informatikai vezetőnek, az InfoSec-nek és a kommunikációs vezetőnek) a rendszerek integritásának fenntartásában és a szervezet működésének mielőbbi visszaállításában.
-
Kockázatazonosítás
Az alkalmazottak, a szállítók, az alvállalkozók és a partnerek információkkal rendelkeznek az adatokkal, a számítógépes rendszerekkel és a biztonsági gyakorlatokkal kapcsolatban. Ha azonosítani szeretné az adatokhoz való jogosulatlan hozzáféréseket, és meg szeretné védeni őket a visszaélésekkel szemben, ismernie kell, hogy milyen adatokkal rendelkezik, és tudni kell, hogyan használják fel őket a digitális adatparkjában.
-
Az adattárolás biztonságának javítása
Az adattárolás biztonsága a tárolt adatok integritásának és titkosságának fenntartásához olyan módszereket használ, mint amilyen például a hozzáférés-vezérlés, a titkosítás és a végpontbiztonság. Emellett csökkenti a szándékos vagy véletlen károk kockázatát, és lehetővé teszi az adatok folyamatos rendelkezésre állását.
-
Az alkalmazottak képzése
Akár szándékosak, akár nem, a belső kockázatok az adatszivárgások leggyakoribb okai. Tanácsos minden szinten egyértelműen kommunikálnia az adatvédelmi szabályzatokat annak érdekében, hogy segítse az alkalmazottakat a megfelelőség elérésében. Ha konkrét problémák merülnek fel, gyakran ismételje meg a képzést frissítő előadásokkal és útmutatással.
Adatvédelmi megfelelőség és törvények
Minden szervezetnek meg kell felelnie a vonatkozó adatvédelmi szabványoknak, törvényeknek és szabályozásoknak. A jogi kötelezettségek közé tartozik többek között a csak a szükséges információk összegyűjtése az ügyfelektől vagy az alkalmazottaktól, az adatok biztonságának fenntartása, valamint az adatok megfelelő leselejtezése. Az alábbiakban példákat talál az adatvédelmi törvényekre.
A GDPR a legszigorúbb adatvédelmi és adatbiztonsági törvény. A törvényt ugyan az EU készítette és fogadta el, de a szervezetek világszerte kötelesek neki megfelelni, ha az Európai Unió állampolgáraitól vagy lakosaitól személyes adatokat kezelnek vagy gyűjtenek abból a célból, vagy termékeket és szolgáltatásokat kínáljanak számukra.
A kaliforniai fogyasztói adatvédelmi törvény (CCPA) segítséget nyújt a kaliforniai fogyasztók adatvédelmi jogainak biztosításában, beleértve a vállalat által gyűjtött személyes adatok ismeretére, valamint felhasználására és megosztására vonatkozó jogot, a tőlük gyűjtött személyes adatok törlésének a jogát, valamint a személyes adataik értékesítésének elutasítására vonatkozó jogot.
Az egészségügyi biztosítás hordozhatóságáról és felelősségre vonhatóságáról szóló határozat, azaz a HIPAA abban nyújt segítséget, hogy a betegek egészségügyi adatai ne kerüljenek nyilvánosságra a beteg tudta vagy beleegyezése nélkül. A személyes egészségügyi adatok védelméről gondoskodó HIPAA adatvédelmi szabály a HIPAA-követelmények megvalósítása érdekében lett törvénybe iktatva. A HIPAA biztonsági szabály segít megvédeni az egészségügyi szolgáltató által elektronikusan létrehozott, fogadott, karbantartott vagy továbbított, személyazonosításra alkalmas egészségügyi adatokat.
A Gramm-Leach-Bliley Act (GLBA) törvény – más néven a pénzügyi szolgáltatások korszerűsítésére szolgáló 1999-es határozat – arra kötelezi a pénzügyi intézményeket, hogy elmagyarázzák az információmegosztási gyakorlataikat az ügyfeleiknek, és gondoskodjanak a bizalmas adatok védelméről.
A Szövetségi Kereskedelmi Bizottság az Egyesült Államok elsődleges fogyasztóvédelmi szerve. A Szövetségi Kereskedelmi Bizottság törvénye jogtalanként deklarál minden olyan tisztességtelen versenymódszert, tisztességtelen vagy megtévesztő cselekményt vagy gyakorlatot, amely hatással van a kereskedelemre.
Adatvédelmi trendek
A stratégiák és a folyamatok fejlődése miatt hasznos, ha a szervezet tisztában van néhány fontos adatvédelmi trenddel. Ezek közé tartozik a jogszabályi megfelelőség, a kockázatkezelés és az adatok hordozhatósága.
-
További adatvédelmi rendeletek
A GDPR viszonyítási ponttá vált annak kapcsán, hogy más országok hogyan gyűjtik, hozzák nyilvánosságra és mentik a személyes adatokat. A bevezetése óta a CCPA az Egyesült Államok (Kalifornia) és a brazíliai általános személyes adatvédelmi törvény része, amelynek célja, hogy lépést tartson az online fogyasztóvédelem és a személyre szabott termékek és szolgáltatások nagyfokú terjedésével.
-
Mobil adatvédelem
A jogosulatlan felhasználók hálózathoz való hozzáférésének megakadályozása magában foglalja a hordozható eszközökön, például laptopokon, táblagépeken és okostelefonokon tárolt bizalmas adatok védelmét. A biztonsági szoftver identitás-ellenőrzéssel akadályozza meg az eszközök feltörését.
-
Kevesebb hozzáférés a harmadik feleknek
Az adatszivárgások gyakran olyan külső felekhez (például beszállítókhoz, partnerekhez és szolgáltatókhoz) vezethetők vissza, akik túl sok hozzáféréssel rendelkeznek a szervezet hálózatához és adataihoz. A megfelelőségi szabályozásokban is egyre többször helyet kapó külső kockázatkezelés az adatok harmadik felek általi elérését és felhasználását korlátozza.
-
Adatok másolásának kezelése
Az adatok másolásának kezelése észleli az ismétlődő adatokat, összehasonlítja őket a hasonló adatokkal, és lehetővé teszi a szervezet számára az adatok nem használt példányainak törlését. Ez a megoldás minimalizálja a duplikált adatok okozta inkonzisztenciákat, csökkenti a tárolási költségeket, és segít fenntartani a biztonságot és a megfelelőséget.
-
Adathordozhatóság
A felhőalapú számítástechnika korai szakaszában az adatok hordozhatósága és a nagy adathalmazok más környezetekbe való áttelepítése nehézkes volt. Napjainkban a felhőtechnológia hordozhatóbbá teszi az adatokat, így a szervezetek egyszerűen áthelyezik őket a különböző környezetek között; például helyszíni adatközpontokból nyilvános felhőkbe, illetve egyik felhőszolgáltatótól a másikhoz.
-
Szolgáltatásként nyújtott vészhelyreállítás
A szolgáltatásként nyújtott vészhelyreállítással a különféle méretű szervezetek költséghatékony felhőszolgáltatásokat használhatnak a rendszereik replikálásához és a működés valamilyen katasztrofális esemény utáni visszaállításához. Biztosítja a felhőalapú technológia rugalmasságát és méretezhetőségét, és hatékony megoldással szolgál a szolgáltatáskimaradások elkerülésére.
Adatfeltárás és adatosztályozás
Az adatfeltárás és az adatosztályozás olyan különálló folyamatok, amelyek együttműködve biztosítják a szervezeti adatok láthatóságát. Az adatfeltárási eszköz a teljes digitális eszközparkot megvizsgálva felderíti, hogy hol találhatók a strukturált és strukturálatlan adatok, ami kritikus fontosságú az adatvédelmi stratégia szempontjából. Az adatosztályozás az adatfeltárási folyamat adatait fájltípus, tartalom és más metaadatok alapján rendszerezi, segít kiküszöbölni az ismétlődő adatokat, és megkönnyíti az adatok megkeresését és lekérését.
A védelem nélküli adatok sérülékeny adatok. Ha tudja, hogy milyen adatokkal rendelkezik, és ezek hol találhatók, az segít Önnek az adatok védelmében és az adatfolyamatokkal és adatvezérlőkkel kapcsolatos jogszabályi megfelelőségi követelmények betartásában.
Adatvédelmi megoldások
Az adatvédelmi megoldások segítenek az adatvesztés elleni védelemben, és olyan biztonsági, biztonsági mentési és helyreállítási megoldásokat is tartalmaznak, amelyek közvetlenül támogatják a szervezete vészhelyreállítási tervét.
Egyszerűsítheti a bizalmas adatok értelmezését a szervezetében. A Microsoft Biztonság megoldásaival az összes adatára rálátást kaphat, hatékonyabb védelmet élvezhet az alkalmazások, a felhők és az eszközök között, és kezelheti a szabályozási követelményeket.
További információ a Microsoft Biztonságról
Microsoft Purview
Fedezze fel a szervezete adataihoz használható cégirányítási, védelmi és megfelelőségi megoldásokat.
Az adatveszteség megelőzése
Azonosíthatja a bizalmas adatoknak a végpontokon, az alkalmazásokban és a szolgáltatásokban való nem megfelelő megosztását, átvitelét, illetve használatát.
Információvédelem
Beépített intelligens, egységes és bővíthető megoldásokkal védheti és kezelheti az adatait.
Kommunikációmegfelelőség
Gépi tanulást használhat a kommunikációs szabálysértések észleléséhez.
Gyakori kérdések
-
Az adatvédelem lehet például a kártékony vagy véletlen károk elleni védelem, a vészhelyreállítási stratégia kialakítása, valamint a hozzáférés korlátozása csak azokra a felhasználókra, akiknek valóban szükségük van az adatokra.
-
Az adatvédelem célja a szervezet adatainak védelme a biztonsági sérülés, a kár és az adatvesztés ellen.
-
A GDPR szerint a magánszemélyek alapvető jogokkal és szabadsággal rendelkeznek a személyes adataik védelme terén. Minden olyan szervezetnek, amely személyes adatokat gyűjt, explicit hozzájárulást kell szereznie a magánszemélyektől, és transzparensnek kell lennie az adatok felhasználását tekintve.
-
Az adatvédelmi eszközök közé tartozik az adatok feltárása és leltározása, a titkosítás, az adattörlés, a hozzáférés-kezelés és a végpontbiztonság.
-
Az adatok védelme érdekében a vállalkozások első lépésként létrehozhatnak egy olyan biztonsági szabályzatot, amely meghatározza többek között a jóváhagyott használatot és az incidensjelentést. A kritikus fontosságú adatok biztonsági mentése, a szoftverek naprakészen tartása és az alkalmazottak adatvédelemmel kapcsolatos képzése további fontos műveletek.
A Microsoft 365 követése