Privatumas ir saugumas
Taikome holistinį, daugiasluoksnį požiūrį, kuris apjungia technologijas, politiką, procesus ir kultūrą. Žemiau pateikiamos pagrindinės strategijos ir geriausios praktikos, užtikrinančios stiprų privatumą ir saugumą.
Pagrindinės strategijos ir geriausios praktikos
Duomenų atradimas ir klasifikavimas
Identifikuokite ir klasifikuokite duomenis (pvz., asmens duomenys, finansiniai įrašai, intelektinė nuosavybė).
Naudokite įrankius duomenų srautui ir saugojimui sistemose sekti.
Žymėkite duomenis pagal jautrumą: vieši, vidiniai, konfidencialūs, riboto naudojimo.
Prieigos valdymas ir tapatybės valdymas
Įgyvendinkite vaidmenimis pagrįstą prieigos valdymą (RBAC).
Taikykite minimalios būtinos prieigos principą – tik tai, kas būtina darbui.
Naudokite daugiafaktorinį autentifikavimą (MFA) visose sistemose.
Saugios infrastruktūros ir architektūros kūrimas
Naudokite tinklo segmentavimą prieigos zonoms riboti.
Apsaugokite galinius įrenginius antivirusinėmis programomis, ugniasienėmis ir įrenginių šifravimu.
Sustiprinkite serverius ir duomenų bazes (išjunkite nenaudojamus prievadus, taikykite stiprių slaptažodžių politiką).
Šifravimas ir duomenų apsauga
Šifruokite duomenis ramybės būsenoje (pvz., diskai, duomenų bazės) ir perdavimo metu (pvz., HTTPS, TLS)
Naudokite duomenų maskavimą ir žymėjimą jautriems laukams ne gamybinėse aplinkose
Reguliariai keiskite raktus ir prisijungimo duomenis.
Saugumas pagal dizainą
Integruokite privatumą ir saugumą į programinės įrangos kūrimo gyvavimo ciklą (SDLC).
Naudokite saugaus programavimo praktiką ir atlikite kodo peržiūras.
Ankstyvuose projektuose atlikite grėsmių modeliavimą ir rizikos vertinimus.
Nuolatinė stebėsena ir incidentų valdymas
Diekite SIEM ir žurnalų valdymą realaus laiko grėsmių aptikimui.
Stebėkite naudotojų elgseną dėl anomalijų (UEBA).
Turėkite ir testuokite incidentų valdymo planą – pasiruoškite pažeidimams ar duomenų praradimui.
Darbuotojų sąmoningumas ir mokymai
Reguliariai mokykite apie sukčiavimą, duomenų tvarkymą ir kibernetinę higieną.
Vykdykite simuliacinius sukčiavimo testus pasirengimui įvertinti.
Švieskite apie privatumo principus (pvz., duomenų minimizavimas, sutikimas).
Atitiktis privatumo įstatymams
Laikykitės tokių reglamentų kaip BDAR, CCPA, HIPAA, PCI DSS.
Veskite duomenų tvarkymo įrašus (BDAR 30 str.).
Įgyvendinkite duomenų subjektų teisių procesus (pvz., prašymai, teisė būti pamirštam).
Trečiųjų šalių rizikos valdymas
Vertinkite tiekėjus naudodami saugumo klausimynus ir vertinimus.
Užtikrinkite, kad sutartyse būtų privatumo ir saugumo nuostatos.
Stebėkite trečiųjų šalių atitiktį ir pranešimus apie pažeidimus.
Privatumo ir saugumo kultūros kūrimas
Tai turi būti bendra atsakomybė, o ne tik IT ar saugumo skyrių užduotis.
Paskirkite duomenų apsaugos pareigūną (DPO) arba vyriausiąjį informacijos saugumo pareigūną (CISO).
Integruokite privatumą ir saugumą į organizacijos vertybes ir valdymą.
Įrankiai privatumui ir saugumui užtikrinti
Tapatybės valdymo įrankiai: Okta, Azure AD
SIEM: Splunk, QRadar, LogRhythm
DLP: Symantec, Forcepoint